発見日: 2007 年 1 月 19 日
更新日: 2008 年 3 月 21 日 5:56:39 AM
別名: Small.DAM [F-Secure], CME-711 [Common Malware Enumeration], Troj/Dorf-Fam [Sophos], Downloader-BAI!M711 [McAfee], TROJ_SMALL.EDW [Trend], W32/Tibs [Norman], Troj/Dorf-J [Sophos], W32/Zhelatin.gen!eml [McAfee], Email-Worm.Win32.Zhelatin [Kaspersky],
種別: トロイの木馬
感染サイズ: 29,347 バイト、30,720 バイト、32,387 バイト、34,816 バイト(異なります)
影響を受けるシステム: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000
このトロイの木馬は、実行されると、次のファイルを投下します。
%System%\wincom32.sys
上記のファイルは、次の特徴を持つ新しいデバイスサービスドライバとして登録されます。
表示名: wincom32
バイナリパス: %System%\wincom32.sys
その後このトロイの木馬は、上記のサービスをインストールするために、次のレジストリサブキーを作成します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
このデバイスドライバは、いったんロードされると、services.exe プロセスを検索し、その中にモジュールを挿入します。
その後、このトロイの木馬は、このデバイスサービスとその関連するファイルの存在を隠す可能性があります。
また、この脅威が初めて実行されると、プロンプト無しでコンピュータをリブートする可能性もあります。
その後このトロイの木馬は、次の設定ファイルのうちのいずれか 1 つの中へ、初期ピアの暗号化されたリストを投下します。
%System%\peers.ini
%System%\wincom32.ini
次のポートを開いて待機します。これは、他のピアとの暗号化された通信チャネルに使われます。
- UDP ポート 4000
- UDP ポート 7871
- UDP ポート 11271
次に、このトロイの木馬は、初期ピアリスト内で指定されているピアへ接続することによって、Overnet プロトコルを使って、標的のコンピュータを既存のピアツーピアネットワーク内の 1 ピアとして登録します。
Overnet ネットワークは、どのファイル共有アプリケーションによって使われますが、Trojan.Peacomm は独自のプライベートネットワークを使います。
その後、このピアツーピアネットワークは、どのファイルをダウンロードして実行するかに関する情報を取得するために、攻撃者によって使われてしまう可能性があります。また、追加のピアの情報を抽出し、収集した情報で自身の独自のピアリストファイルをアップデートします。
その後このトロイの木馬は、次のファイルをダウンロードし実行する可能性があります。
- 217.107.217.187/game0.exe
- 81.177.3.169/dir/game1.exe
- 81.177.3.169/dir/game2.exe
- 81.177.3.169/dir/game4.exe
このトロイの木馬は、
W32.Mixor.Q@mm によって投下される可能性もあります。また、スパム電子メールの添付ファイルとして届く可能性もあります。
現在のところ、この電子メールの件名と添付ファイルは、増大し続けているリストからの次の組み合わせを含む可能性があります。
件名: 次のうち、いずれか
- 230 dead as storm batters Europe.
- A killer at 11, he's free at 21 and kill again!
- British Muslims Genocide
- Chinese missile shot down Russian aircraft
- Chinese missile shot down Russian satellite
- Chinese missile shot down USA aircraft
- Chinese missile shot down USA satellite
- Did you open your ecard yet
- Fidel Castro dead.
- Naked teens attack home director.
- New 2008 Year Ecard
- New 2008 Year Greeting Card
- New 2008 Year Postcard
- New Year 2008 Ecard
- New Year 2008 Greeting Card
- New Year 2008 Postcard
- New Year Postcard
- New Year Postcard
- Please open your ecard.
- Radical Muslim drinking enemies's blood.
- Re: Your text
- Russian missile shot down Chinese aircraft
- Russian missile shot down Chinese satellite
- Russian missile shot down USA aircraft
- Russian missile shot down USA satellite
- Saddam Hussein alive!
- Saddam Hussein safe and sound!
- Someone is thinking of you! Open your ecard!
- Someone just sent you a greeting!
- Someone Just sent you an ecard!
- This ecard is hillarious!
- U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
- Venezuelan leader: "Let's the War beginning".
- We have a ecard greeting for you.
- We have a ecard surprise!
- We have a ecard surprise!
- You have just received an ecard.
- You have one new ecard waiting!
- Your ecard greeting is available.
- Your ecard joke is waiting
- Your ecard joke is waiting!
添付ファイル: 次のうち、いずれか
- ClickHere.exe
- e-card.exe
- familypostcards2008.com
- FlashPostcard.exe
- FlashPostcard.exe
- Full Story.exe
- FullClip.exe
- FullNews.exe
- FullVideo.exe
- GreetingCard.exe
- GreetingPostcard.exe
- happycards2008.com
- merrychristmasdude.com
- MoreHere.exe
- newyearcards2008.com
- newyearwithlove.com
- postcard.exe
- Read More.exe
- ReadMore.exe
- uhavepostcard.com
- Video.exe
推奨する感染予防策
シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。
- 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
- 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
- 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
- パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
- メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
- ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
- 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。
記述: Masaki Suenaga and Mircea Ciubotariu
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
