TOPへ

インターネット関連ニュース

最新情報5月23日更新。

【メールの差出人】なりすまします。

　【メールの件名】以下の可能性があります。
　　details
　　girls
　　image
　　love
　　message
　　music
　　news
　　photo
　　pic
　　readme
　　resume
　　screensaver
　　song
　　video

　【メールの本文】空欄です。

　【添付ファイル名】以下のいずれかの可能性があります。
　　details
　　girls
　　image
　　love
　　message
　　music
　　news
　　photo
　　pic
　　readme
　　resume
　　screensaver
　　song
　　video

　　拡張子は「.zip」です。

2005年4月5日

W32.Spybot.LXJ が実行されると、次のことを行います。

次のファイルとして自分自身をコピーし、ファイルの属性を隠しファイル、読み取り専用、システムに設定します。

%System%\[ランダムなファイル名].exe

--------------------------------------------------------------------------------
注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
--------------------------------------------------------------------------------

次の値を

"Microsoft UpToDate Driver (32-bits)" = "[ランダムなファイル名]"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE

Windows の起動時に必ずワームが実行されるように設定します。

次の脆弱性を悪用することにより、拡散を試みます。

Microsoft Windows DCOM RPC インターフェースバッファオーバーランの脆弱性 (マイクロソフトセキュリティ情報 MS03-026 参照) を悪用する。
Microsoft Windows Local Security Authority Service のリモートバッファオーバーフローの脆弱性 (マイクロソフト セキュリティ情報 MS04-011 参照) を悪用する。
TCP ポート 445 を使用して、Workstation サービスのバッファオーバーランの脆弱性 (マイクロソフトセキュリティ情報 MS03-049 参照) を悪用する。(Windows XP をお使いの場合、マイクロソフト セキュリティ情報 MS03-043 で解説されているパッチが適用済みであれば、この脆弱性から保護されています。Windows 2000 をお使いの場合、マイクロソフトセキュリティ情報 MS03-049 で解説されているパッチを適用しなければなりません。)

sirh0t.w00pie.nl ドメインの IRC サーバに接続し、リモートの攻撃者からのコマンドを待機します。攻撃者は次の操作を実行できるようになる可能性があります。

サービス拒否攻撃の実行
プロセスの開始/停止
ファイルのダウンロード/アップロード
バックドアの更新/アンインストール

次の値を

"AutoShareServer" = "0"
" AutoShareWks" = "0"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"Start" = "4"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"EnableDCOM" = "N"
" EnableRemoteConnect" = "N"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"Enabled" = "0"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"TransportBindName" = ""

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"restrictanonymous" = "1"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"NameServer" = ""
" ForwardBroadcasts" = "0"
" IPEnableRouter" = "0"
" Domain" = ""
" SearchList" = ""
" UseDomainNameDevolution" = "1"
" EnableICMPRedirect" = "0"
" DeadGWDetectDefault" = "1"
" DontAddDefaultGatewayDefault" = "0"
" EnableSecurityFilters" = "1"
" AllowUnqualifiedQuery" = "0"
" PrioritizeRecordData" = "1"
" TCP1320Opts" = "3"
" KeepAliveTime" = "0x00023280"
" BcastQueryTimeout" = "0x000002ee"
" BcastNameQueryCount" = "1"
" CacheTimeout" = "0x0000ea60"
" Size/Small/Medium/Large" = "3"
" LargeBufferSize" = "0x00001000"
" SynAckProtect" = "2"
" PerformRouterDiscovery" = "0"
" EnablePMTUBHDetect" = "0"
" FastSendDatagramThreshold "="0x00000400"
" StandardAddressLength "="0x00000018"
" DefaultReceiveWindow "="0x00004000"
" DefaultSendWindow" = "0x00004000"
" BufferMultiplier" = "0x00000200"
" PriorityBoost" = "2"
" IrpStackSize" = "4"
" IgnorePushBitOnReceives" = "0"
" DisableAddressSharing" = "0"
" AllowUserRawAccess" = "0"
" DisableRawSecurity" = "0"
" DynamicBacklogGrowthDelta" = "0x00000032"
" FastCopyReceiveThreshold" = "0x00000400"
" LargeBufferListDepth" = "0x0000000a"
" MaxActiveTransmitFileCount" = "2"
" MaxFastTransmit" = "0x00000040"
" OverheadChargeGranularity" = "1"
" SmallBufferListDepth" = "0x00000020"
" SmallerBufferSize" = "0x00000080"
" TransmitWorker" = "0x00000020"
" DefaultRegistrationTTL" = "0x00000014"
" DisableReplaceAddressesInConflicts" = "0"
" DisableReverseAddressRegistrations" = "1"
" UpdateSecurityLevel" = "0"
" DisjointNameSpace" = "1"
" QueryIpMatching" = "0"
" NoNameReleaseOnDemand" = "1"
" EnableDeadGWDetect" = "0"
" EnableFastRouteLookup" = "1"
" MaxFreeTcbs" = "0x000007d0"
" MaxHashTableSize" = "0x00000800"
" SackOpts" = "1"
" Tcp1323Opts" = "3"
" TcpMaxDupAcks" = "1"
" TcpRecvSegmentSize" = "0x00000585"
" TcpSendSegmentSize" = "0x00000585"
" TcpWindowSize" = "0x0007d200"
" DefaultTTL" = "0x00000030"
" TcpMaxHalfOpen" = "0x0000004b"
" TcpMaxHalfOpenRetried" = "0x00000050"
" TcpTimedWaitDelay" = "0"
" MaxNormLookupMemory" = "0x00030d40"
" FFPControlFlags" = "1"
" FFPFastForwardingCacheSize" = "0x00030d40"
" MaxForwardBufferMemory" = "0x00019df7"
" MaxFreeTWTcbs" = "0x000007d0"
" GlobalMaxTcpWindowSize" = "0x0007d200"
" EnablePMTUDiscovery" = "1"
" ForwardBufferMemory" = "0x00019df7"
" DNSQueryTimeouts" =
" hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00"

次のレジストリサブキーに追加することによって、

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

自身の拡散を可能にし、またバックドア機能を有効にします。

次の値を

"MaxConnectionsPer1_0Server" = "0x00000050"
" MaxConnectionsPerServer" = "0x00000050"

次のレジストリサブキーに追加することによって、

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

自身の拡散を可能にし、またバックドア機能を有効にします。

2005年4月5日

VBS.Haster@mm は Microsoft Outlook アドレス帳の全メールアドレスに対し、Microsoft Outlook を使用して自分自身を送信する、大量メール送信の VBScript ワームです。

VBS.Haster@mm が実行されると、次のことを行います。

C:\WINDOWS\system\Back ups というフォルダを作成します。

次のファイルとして自分自身をコピーします。

%System%\Back ups\ bkupinstall.vbs
%System%\system\Back ups\3-01-05.bkup.vbs
%System%\system\Back ups\4-01-05.bkup.vbs
%System%\system\Back ups\bkupinstall.vbs

--------------------------------------------------------------------------------
注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
--------------------------------------------------------------------------------

次の値を

"BootCfg" = "wscript.exe C:\WINDOWS\System\Back ups\4-01-05.bkup.vbs %"
" Windows Update" = "wscript.exe C:\WINDOWS\System\Back ups\3-01-05.bkup.vbs %"

次のレジストリキーに追加することによって、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Windows の起動時に VBS.Haster@mm が実行されるように設定します。

次のレジストリキーを設定します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoVirtMemPage" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDeletePrinter" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\"Explorer\"NoClose" = "1"

Microsoft Outlook アドレス帳の全メールアドレスに電子メールを送信します。送信されるメールには、次の特徴があります。

件名: Windows Back ups

本文:

Must update your windows, so you dont lost any data. please install the
attached file and then your back ups will start.

添付ファイル: bkupinstall.vbs

感染先のコンピュータをシャットダウンします。

2005年4月1日

シマンテックの「Norton AntiVirus」に2件の脆弱性

Symantecは、同社のウイルス対策ソフトウェアに脆弱性が見つかったことを発表した。このバグが悪用されると、同ソフトウェアが稼働するコンピュータにサービス拒否（DoS）攻撃を仕掛けられてしまうおそれがある。

　Symantecは今週、「Norton AntiVirus」に2件のよく似た脆弱性が見つかったことを明らかにし、その詳細をウェブサイトに掲載した。Norton AntiVirusは単独か、「Norton Internet Security」および「Norton System Works」にバンドルされる形で販売されている。この脆弱性を悪用した攻撃を受けると、コンピュータがクラッシュしたり、スピードが非常に遅くなったりするが、ただしこれらの欠陥は2004年ならびに2005年にリリースされた製品でしか発見されていない。

　Symantecによると、日本の行政法人である情報処理推進機構（Information-Technology Promotion Agency：IPA）が、Norton AntiVirusの「AutoProtect」機能に問題があることを初めて見つけたという。AutoProtect機能は、ファイルをスキャンし、ウイルスやトロイの木馬攻撃、ワームなどを防ぐために使われているもの。

　この脆弱性を悪用するファイルをスキャンすると、Symantecのソフトウェアはクラッシュしてしまう。このファイルは、システムの外部からリモートで仕掛けらることも、あるいはコンピュータに物理的にアクセスできる内部の人物が仕掛けることもできると、Symantecは報告している。

　2つ目の脆弱性は、Japan Computer Emergency Response Team（JPCERT）が発見したものだが、このバグを悪用すればNorton AntiVirusの「SmartScan」機能が特定の更新ファイルをスキャンした際に、マシンがDoS攻撃を開始するように細工できてしまう。Symantecは、コンピュータへの正当なアクセス権を持っていないと、これらの脆弱性を悪用することはできないと述べている。SmartScanは、拡張ファイルや実行ファイル、文書ファイルなどに潜むウイルスを検知し駆除するための機能。

　Symanteによると、どちらの問題についても、関連する攻撃はまだ報告されていないという。また同社はウェブサイトに掲載した勧告のなかで、これらの脆弱性はユーザーにとってそれほど深刻な問題ではないと述べている。

　Symantec（本社：カリフォルニア州クパチーノ）は、この問題をユーザーに告知し、「Automatic LiveUpdate」サービスの利用者が自動修復機能を使用できるようにするなど、欠陥を補うパッチをリリースした。同社は、このパッチをまだあていないユーザーに対し、すぐにこれを適用して攻撃の可能性に備えるよう注意を促している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

2005年3月29日

メールの添付ファイルから感染する［メール無断送信］ワーム『Worm.Sober.L （ソバー・Ｌ）ウイルス危険度：中』が発生しました。
今回は、このウィルスの特徴と、具体的な対策方法をお知らせいたします。

■ウイルスの特徴
感染すると、パソコン内の特定の拡張子からメールアドレスを収集し、勝手にウイルス付きメールを送信します。
任意のテキストファイルがメモ帳で開かれ た場合は要注意です。また、ネットワークのトラフィックが発生したり、
パソ コンの動作が不安定になる場合もあります。

■メッセンジャーの添付ファイルにご注意ください
ウイルスが添付されている可能性のある件名や添付ファイル名などは、以下の 通りです。ご注意ください。

【メールの差出人】感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

　【メールの件名】以下の可能性があります。
　　Merry Christmas!
　　boldog karacsony...
　　Feliz Navidad!
　　ecard.ru
　　Christmas Kort!
　　Christmas Vykort!
　　Christmas Postkort!
　　Christmas postikorti!
　　Christmas - Kartki!
　　Weihnachten card.
　　Prettige Kerstdagen!
　　Christmas pohlednice
　　Joyeux Noel!
　　Buon Natale!

　【添付ファイルの拡張子】以下の可能性があります。
　　.bat .cmd .com .pif .zip

■ウイルス対策

事前にできる対策として以下のようなことがあります。

・不用意にメールの添付ファイルを実行しないようにする。
・Microsoft社の最新修正プログラムをインストールする。
・ウイルス対策ソフトをインストールする。

2004年5月8日

Sasser ワーム作成容疑者の逮捕で他の逮捕につながる可能性ありとコメント

世界中の何千万台もの PC を攻撃したと推定されている悪名高い Sasser インターネットワームの作成と配布の容疑で、18歳の男性が北ドイツのロッテンバーグで逮捕されました。ソフォスでは、Sasser ワームを配布した犯罪集団が、今年コンピュータユーザーに感染し続けてきた強力な Netsky ワームも作成した可能性があると考えています。

ソフォスのシニアテクノロジーコンサルタントの Graham Cluley は次のように述べています。「一週間前に出現して以来、Sasser ワームは脆弱なコンピュータシステムを攻撃し続け、2004年におけるもっとも深刻なウイルス感染となりました。警察当局は迅速に行動し、このティーンエージの容疑者を逮捕しました。この男のコンピュータを押収することによって、 Sasser ワームだけでなく、Netsky ワーム作成の責任もある、ワーム作成の秘密ネットワークを明らかにするような重大な手がかりが見つかるかも知れません。」

ソフォスは、Netsky ワームの亜種の中には、インターネットから排除するため、一部のドイツとスイスの web サイトにサービス拒否（DoS）攻撃を仕掛けるものがあるとしています。 　

Cluley は次のようにも語っています。「もっとも最新の Netsky ワームを綿密に調べると、Sasser ワームを作成したのも自分だと自慢するような、ウイルス対策会社へのあざけりを作成者がはめ込んでいるのが分かります。もしこれが事実ならば、今回の逮捕は、サイバー犯罪史の中でもっとも重要なもののひとつとなる可能性があります。これらのワームは全てきわめて妨害度が高く、複雑なもので、作成者が一人ではないことを示唆しています。この男性のコンピュータを押収することによって、悪名高いウイルス作成犯罪集団『Skynet』を捕えるための重大な手がかりが見つかるかも知れません。調査が進むにつれてさらに逮捕の数が増えていったとしても驚くにはあたりません。」

Skynet ウイルス作成犯罪集団の名は、Arnold Schwarzenegger 主演の映画シリーズ『ターミネーター』で世界を支配するコンピュータシステムから名づけられたと言われています。

2004年2月17日

★Ｗｉｎｄｏｗｓ　一部ソースが流出！Ｗｉｎｄｏｗｓ2000・ＮＴ

ＸＰは流れていないようですが、ソースを使って、ウィルスを作られる危険性がありますので、

注意しましょう。

★ＵＦＪ銀行新商品！

病院への融資最長20年！

「ネットウィルス速報」

2003年12月5日

*ソフォス、にせのApple iPodスパムが警察の電話システムに攻撃しようとしたことに対しコメント

法人向けウイルス/スパム対策大手のソフォス（本社：神奈川県横浜市、代表取締役社長：アラン・ブロデリック）は、ケンブリッジ州警察当局の電話回線をパンクさせようとした新しいメールによる手口について忠告しています。

ソフォスでは、身に覚えのない40GBのApple iPod MP3プレーヤー購入に対するクレジットカードの請求についてユーザーが受信したメールについての質問を受け取っています。

そのメールによると、399.99ポンドがクレジットカードの請求書に記載され、質問があれば電話で販売者に問い合わせるよう指示されています。しかし、その電話番号は、イギリス・ケンブリッジの警察本部の一般問い合わせ番号なのです。ケンブリッジ州の警察の声明によると、「我々は本日、約400ポンドが銀行から引き落とされる旨のメールについて警告を発しました。」

巡査長代理のAlan Given氏は、「これは、当局により提供されているサービスに影響を与えます。そのような内容のメールを受信したら、無視して掲載番号に電話をかけないことです。」と話しています。

このスパム攻撃に誰が関わっているのか、単なるいたずらあるいは捜査活動を妨害するための仕業かについて議論するのは時期尚早かもしれません。しかし、警察がこのような妨害をなくすよう捜査し努力していることは知っておいてよいことと思われます。

メールにある送信者のアドレスと会社名は存在しないと思われます。

メールテキストは次のようになっています：

件名： Transaction Receipt (UKCards)
送信者： "UKCards"

------------------

Please note: All charges to your statement
will appear in the name "UKCARDS LIMITED".

Order Information
Amount: £399.95
Currency: GBP
Merchant Name: HUNTINGDON MAIL ORDER
Description: iPod Music Player 40GB

Customer Service
Telephone: 01480 456111
Email: N/A

Delivery Address
47 Silver Street, London, NW1 5TR

If you have any questions on the delivery
of this order or product details please contact
the merchant directly using the above details.

ソフォスでは、メールを無視し返信しないよう呼びかけています。