Symantec Security Response http://securityresponse.symantec.com

Trojan.Jasbom

Trojan.Jasbom は、Microsoft Internet Explorer ITS プロトコルゾーンバイパスにおける脆弱性 (Microsoft セキュリティ情報 MS04-013 参照) を悪用しようとするトロイの木馬です。このトロイの木馬は、アプリケーション Lineage を使用している場合に、キーストローク、マウスのクリック、およびアプリケーションメモリーをログに記録します。このトロイの木馬は、このログに記録した情報を j4sb.com ドメイン上の Web サイトへ送信します。 注意: 2005 年 5 月 12 日より前のウイルス定義では、この脅威を PWSteal.Lineage として検出する可能性があります。 2005 年 5 月 15 日、Kakaku.com 社は、彼らの Web サイトが 2005 年 5 月の 11 日から 14 日の間に侵入された可能性があると発表しています。 この間に、Trojan.Jasbom が彼らの Web サーバーへインストールされました。パッチを適用していないバージョンの Internet Explorer を使用してこの Web サイトへアクセスしたコンピューターユーザーは、これらの期間内にこのトロイの木馬がコンピューターにダウンロードされている可能性があります。
駆除ツールへのリンク: http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.jasbom.removal.tool.html

別名:	Win32.Lineage.S [Computer Associates], Trojan-PSW.Win32.Delf.fz [Kaspersky Lab], Trojan-PSW.Win32.Lmir.aeu [Kaspersky Lab], PWS-LegMir!chm [McAfee], PWS-Lineage{.dll, !chm} [McAfee], Troj/LegMir-AE [Sophos], CHM_DELF.D [Trend Micro], TROJ_DELF.RM [Trend Micro], TSPY_LINEAGE.AP [Trend Micro]
種別:	トロイの木馬
感染サイズ:	50,688 バイト
影響を受けるシステム:	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

対応日(LiveUpdate™ Weekly) 2005年05月16日 (米国時間) 対応日（Intelligent Updater) 2005年05月16日 (米国時間)

被害状況 感染台数: 0 - 49 感染報告数: 0 - 2 地域危険度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 低 リスクインパクト: 中 感染力: 低

リスクインパクト

• 発症のタイミング: n/a
• 発病症状: セキュリティ関連のプロセスを終了させることによって、セキュリティ設定を低下させる。
  • 大量メール送信: n/a
  • ファイル削除: n/a
  • ファイル改ざん: n/a
  • パフォーマンスの低下: n/a
  • システムの不安定化: n/a
  • 秘密情報の漏洩: キーストロークをログに記録し、盗み取った情報を事前に定義されたアドレスへ送信する。
  • 不正アクセス: n/a

感染力

• メール件名: n/a
• 添付ファイル: n/a
• 添付ファイルのサイズ: n/a
• 添付ファイルのタイムスタンプ: n/a
• ポート: n/a
• 共有ドライブ: n/a
• 感染対象: n/a

この悪意のある URL をクリックすると、デフォルトのブラウザが j4sb.com ドメイン上の Web ページへアクセスします。この HTML Web ページは、同じサイト上で .CHM ファイルを実行するために、Microsoft Internet Explorer ITS プロトコルゾーンのバイパスにおける脆弱性 (Microsoft セキュリティ情報 MS04-013 参照) を悪用しようとします。

この .CHM ファイル内に含まれているコードは、この CHM ファイル内に含まれている #.exe を実行します。

#.exe が実行されると、次のことを行います。

1. 次のファイルを投下します。
   
   
   • %System%\explorer.exe
   • %System%\htdll.dll
   • C:\GaMeJTT1.TXT
     
     

     ---

     注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

     ---

     
     
2. ZoneAlarm、Romanian Antivirus アプリケーション、および次のプロセスを終了させます。
   
   
   • EGHOST.EXE
   • MAILMON.EXE
   • KAVPFW.EXE
   • Iparmor.exe
   • Ravmon.exe
     
     
3. タイトルに次の 3 つの中国語の文字列のうちいずれかを含むウィンドウを閉じます。
   
   
   

   ---

   注意: これらのウィンドウは、中国のアンチウイルス製品に関連付けられています。

   ---

   
   
4. 次のレジストリストリサブキーへ
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
   
   次の値を追加します。
   
   "load" = "%System%\explorer.exe"
   
   Windows の起動時に必ずトロイの木馬が実行されるように設定します。
   
   
5. htdll.dll を使用して、C:\GaMeJTT1.TXT へのアプリケーション Lineage へ送信されたキーストロークおよびマウスのクリックをログに記録します。
   
   
6. C:\GaMeJTT1.TXT へのアプリケーション Lineage のメモリー内の特定の部分をダンプするために、htdll.dll を使用します。
   
   
7. システム情報およびログに記録されたキーストロークを、ポート 80 で j4sb.com ドメイン上のスクリプトへ送信します。
   
   
8. Windows 9x/ME を実行しているコンピューター上では、このトロイの木馬は %Windir%\rundll32.exe および %System%\internat.exe を次のロケーションへバックアップします。
   
   
   • %SystemDrive%\rundll32.exe
   • %SystemDrive%\internat.exe
     
     

     ---

     注意: %SystemDrive% は可変で Windows がインストールされているドライブを参照します。標準では、このドライブは C ドライブです。

     ---

     
     
     
9. Windows 9x/ME を実行しているコンピューター上では、このトロイの木馬は自分自身を次のファイルへコピーします。
   
   
   • %Windir%\rundll32.exe
   • %System%\internat.exe
     
     
10. このトロイの木馬は自分自身をこれらのロケーションへコピーすることに失敗すると、次のファイルとして自分自身の一時コピーを作成します。
    
    
    • %Windir%\rundll32.exe.ddd
    • %System%\internat.exe.ddd
      
      
11. Windows 9x/ME を実行しているコンピューター上では、このトロイの木馬は次のテキストを WININIT.INI の [rename] セクションへ追加します。
    
    [rename]
    %Windir%\rundll32.exe=%Window%\Rundll~1.ddd
    %System%\internat.exe=%Window%\intern~1.ddd

Symantec Security Responseでは、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1つ、あるいは複数のネットワークサービスが複合型リスクの攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNSサービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 従業員に対し、次のことを徹底させる。
• 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
• インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
• 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

1. システムの復元機能を無効にします (Windows Me/XP)。
2. ウィルス定義を最新版に更新します。
3. システム全体のスキャンを実行し、検出されたファイルをすべて削除します。
4. レジストリに追加されたすべての価を削除します。
5. Wininit.ini ファイルを編集します。
   

• Windows Me のシステムの復元機能を有効/無効にする方法
• Windows XP のシステムの復元機能を有効/無効にする方法

• LiveUpdate を使用して入手する方法:シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。このウイルスへの対応は、ページ上部に記載の「対応日 （LiveUpdate)」欄の日付をご覧ください。Virus Definitions (LiveUpdate).
  
  
• Intelligent Updater を使用して入手する方法:Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日〜土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater）」欄の日付をご覧ください。Virus Definitions (Intelligent Updater).
  
  

  ---

  注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。

  ---

  
  Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
   • 個人のお客様向け Norton AntiVirus 製品をお使いの場合 (パッケージ製品): 詳しくは、"すべてのファイルをウイルススキャンするように設定する方法" をご覧ください。
   • 企業・法人のお客様向け Symantec AntiVirus 製品をお使いの場合 (ライセンス製品): 詳しくは、"NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法" をご覧ください。
     
     
2. システム全体のスキャンを実行します。
   
   
3. ファイルが検出されたら、[削除] をクリックします。

1. [スタート] - [ファイル名を指定して実行] をクリックします。
   
   
2. regedit と入力します。
   
   
3. [OK] をクリックします。
   
   

   ---

   注意: レジストリエディタを開けない場合、トロイの木馬がレジストリを改ざんして、レジストリエディタへのアクセスを阻止している可能性があります。Security Response はこの問題を解決するツールを作成しました。このツールをダウンロードして実行してから、駆除手順を続行してください。

   ---

   
   
4. 次のサブキーを選択します。
   
   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
   
   
5. 画面右側で、次の値を削除します。
   
   "load" = "%System%\explorer.exe"
   
   
6. レジストリエディタを終了します。
   

1. [スタート] - [ファイル名を指定して実行] をクリックします。
   
   
2. 次のように入力します。
   
   edit c:\windows\wininit.ini
   
   その後、[OK] をクリックします。
   
   (MS-DOS エディタが開きます。)
   
   

   ---

   注意: Windows を上記以外の場所にインストールしていた場合は、パスを適宜置き換えてください。

   ---

   
   
3. ファイルの [rename] セクションで、次に類似した行を探します。
   
   %Windir%\rundll32.exe=%Window%\Rundll~1.ddd
   %System%\internat.exe=%Window%\intern~1.ddd
   
   
4. この行が存在する場合は、この行を削除します。
   
   
5. [ファイル] - [保存] をクリックします。
   
   
6. [ファイル] - [終了] をクリックします。

更新情報:

• 2005 年 5 月 16 日:
  • 駆除ツールの詳細情報を更新しました。
  • このリスクの危険度をレベル 2 へアップグレードし、この脅威によって終了されるプロセスに関する情報を追加しました。

記述: Kaoru Hayashi