1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Scrimge.A
  4. W32.Scrimge.A
  • ブックマーク

W32.Scrimge.A

危険度1: ほとんど影響なし

発見日:
2007 年 8 月 6 日
更新日:
2007 年 8 月 14 日 1:02:00 AM
別名:
WORM_SDBOT.EXT [Trend], W32/Imagine-A [Sophos], MSNPoopy.A.worm [Panda Software], W32/Checkout!91d0b88a [McAfee]
種別:
Worm
感染サイズ:
27,136 バイト
影響を受けるシステム:
Windows
このワームは、いったん実行されると、'JFAngaY' という名前のミューテックスを作成して、標的のコンピュータ上でこの脅威ののインスタンスが 1 つのみ実行されるようにします。

その後これは、セキュリティ センターと winvnc4 サービスを停止させるために、次のファイルを投下して実行します。
%SystemRoot%\a.bat

このワームはその後、自分自身を次のファイルとしてコピーします。
%Windows%\svchost.exe

これは、Windows が起動されるたびにこれが実行されるようにするために、次のレジストリエントリを作成し続けます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"

このワームはその後、自分自身の zip されたコピーを次のファイルとして投下します。
%Windows%\img1756.zip

自分自身を標的のコンピュータへ投下した後で、これは、さらなるコマンドを受け取るために、ポート 1863 で vpn.basecore.info へ接続します。このワームはその後、次の操作を行うように指示されることが可能です。

* 自分自身を更新する
* 他のファイルをダウンロードする
* MSN メッセンジャーを使って拡散する
* 自分自身を削除する

MSN を介して拡散するために、このワームは投下した zip ファイルを次のメッセージのうちのいずれか 1 つと共に送信して、ユーザーが自分自身の zip された添付ファイルを誤ってダウンロードするように仕向けます。

* look @ my cute new puppy :-D
* look @ this picture of me, when I was a kid
* I just took this picture with my webcam, like it?
* check it, i shaved my head
* have u seen my new hair?
* what the fuck, did you see this?
* hey man, did you take this picture?

添付ファイル名: img1756.zip

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Sean Kiernan
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube