WORM_BUGBEAR.A - 2002/10/4
感染警報VAC-3 バックドアをしかけ、セキュリティソフトを停止させるワーム「WORM_BUGBEAR.A」(バグベアー)
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、バックドアをしかけ、セキュリティソフトを停止させるワーム「WORM_BUGBEAR.A」(バグベアー)について国内において、昨日より被害報告が増えていることから、ウイルス警報VAC-3※1にて警告することをお知らせいたします。なお、トレンドマイクロではすでにパターンファイル355以降にて対応※2し、あわせて無償駆除ツールの提供を行っています。
※1 VAC(Virus Alert Code)
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示しています。(VAC-1が最も脅威度が高い)VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2 現在の最新パターンファイルは357です。今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。
「WORM_BUGBEAR.A」(バグベアー)の特徴とその対策について
● ウイルスの特徴:
「WORM_BUGBEAR.A」(バグベアー)はセキュリティソフト(ウイルス対策ソフト、ファイアウォールソフト)のプロセスを終了し、その後Outlook Expressのアドレス帳にある全ての宛先に自身のコピーを添付したメールを送信します。またバックドア活動も行います。さらにネットワーク感染も行います。
ウイルス付メールの特徴は下記のとおりです。
送信者:詐称(アドレス帳から取得したメールアドレスを無作為にセットされる) 件名:不定(ウイルスが持つ、多くの候補の中から選ばれる) 本文:なし 添付ファイル名:Setup.exe または3 July 2002.doc.pif
この添付ファイルを開くとウイルスは活動します。 または大流行した「NIMDA」や「KLEZ」同様、Internet Explorerのセキュリティホールを悪用し、メールやメールに添付されたファイルを開かずとも、プレビュー機能にてメール本文を見たり、カーソル(マウス矢印)をあてるだけでウイルスが活動を開始する仕組みになっています。
● 現時点(10月4日14時現在)の感染被害報告件数:
日本国内96件
● お勧めする対策:
・ ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・ Internet Explorer の修正プログラム(セキュリティパッチ)※1を導入してください。
・ ワームが実行された場合は、システムの修復の必要があるため、手動で設定を変えるか、無償駆除ツールをご利用ください。
■ ウイルスの詳細情報および無償駆除ツールのご案内は下記URLよりご確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BUGBEAR.A
※1 このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。マイクロソフト社 TechNet セキュリティセンター:
http://www.microsoft.com/japan/technet/security/default.asp
「TrendLabs Japan」アンチ・ウイルスセンターウイルス解析担当者 岡本勝之 コメント
「WORM_BUGBEAR.A」(バグベアー)は様々な活動を併せ持つ複合型ワームです。ダイレクトアクション活動、差出人詐称、ウイルス対策ソフトの強制終了など、全体的には現在も流行中のKLEZの活動に似ています。また他にも共有ドライブへのワーム活動やハッキング活動なども併せ持っていますので特にLAN環境に侵入されると危険です。
このような活動の多様化は最近流行のワームの一つの傾向と言えます。特にセキュリティホールを利用したダイレクトアクション活動はNIMDA以来登場するワームのほとんどが行う活動です。これは最低限WindowsUpdateを行っていれば防げる活動ですので、WindowsUpdateは必ず行うようにしてください。過去の傾向から見て、このようなワームは発見後しばらくしてから感染爆発が起こることもありえます。今後、十分な注意が必要です。
「WORM_BUGBEAR.A」(バグベアー)の概要
● 感染対象:
Windows 環境のPC
● 感染・侵入経路:
e-mailの添付ファイルおよび共有フォルダ
ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。セキュリティホールが修正されていない環境ではメールをプレビュー/オープンしただけで添付ファイルが実行され、ワームが活動してしまいます。
送信されるメールは以下の内容です:
送信者:詐称(アドレス帳から取得したメールアドレスを無作為にセットされる)
件名: 不定(ウイルスが持つ、多くの候補の中から選ばれる)
本文: なし
添付ファイル名: Setup.exe または3 July 2002.doc.pif
※ワームは自身でSMTPメールを送信できる機能を持っていますので、メールソフトの送信履歴に残りません。
ワームは実行されると、ネットワーク内の書き込み可能な共有フォルダを含む、共有リソースを検索し、見つけると、以下の場所に自身をコピーします。:
\\<共有コンピュータ名>\<スタートアップフォルダ>\<ランダムなファイル名>.exe
<ランダムなファイル名>は感染元のマシンにあるウイルスファイル名と同じ名前です。この動作により、共有元のコンピュータを起動するたびにワームが実行されるようになります。
またワームは共有されているリソースすべてに対し、つまり共有フォルダだけではなく、ネットワークプリンタのような共有リソースにも自身をコピーしようとします。
たとえば、ネットワークプリンタに対し、自身をコピーしようと試みた場合、プリンタジョブのキューに入ります。また印刷結果はワーム自身を文字列化して印刷してしまいます。
● バックドア活動:
ワームは実行されると、ポート36794を開きます。この動作により、悪意のあるユーザが感染マシンにアクセスすることを可能にします。
ワームは
1.に3つの .DLLファイル、
2.に2つの暗号化された .DATファイルを作成します。
※作成されるファイル名はすべて不定です。
1.に作成される、3つの .DLL ファイルのうち1つのファイルは実行可能形式の .DLLファイルです。このファイルはキーボード入力監視、キーボード入力データの保持の機能を備えています。このファイルは「WORM_BUGBEAR.A」で検知します。
残りの2つの .DLLファイルは暗号化されており、これらのファイル内にキー入力情報が保持されます。この2つのファイルは暗号化された不正コードを含まない無害なファイルです。
2.に作成される2つの .DATファイルは暗号化された不正コードを含まない無害なファイルです。
さらにこのワームのバックドア活動でポート36794を開く場合に使用するファイルをに作成します。
~PHGGUM.TMP
~EAYLNLF.TMP
これらのファイルにはハッカーのマシンと通信するセッションIDとしてこのワームが使用する20文字の文字が含まれます。ハッカーはこのIDが感染マシンになければ、感染マシンをリモート操作することができません。リモート操作が可能になった場合、上記のDLLファイルに保存されたキー入力情報などの盗難が可能になります。
※ポート36794は通常のサービスで利用されるポートではありません。
● その他の活動:
ワームは、ウイルス対策ソフトまたはファイアウォールソフトと思われる複数のプロセスを強制終了させます。
● 「WORM_BUGBEAR.A」(バグベアー)への感染の有無を確かめる方法:
ワームが活動してしまった場合には、4文字のランダムなファイル名で自身のコピーをに、3文字のランダムなファイル名で自身のコピーをスタートアップディレクトリに作成しています。
ウイルス対策製品がある場合
1)最新の検索エンジン・パターンファイルにアップデートしてください。
2)「手動検索」にてシステム全体を検索してください。
ウイルス対策製品がない場合
トレンドマイクロ社ホームページより、「ウイルスバスターオンラインスキャン」にてマシンのウイルスチェックを実行してください。
URL: http://www.trendmicro.co.jp/hcall/scan.asp
※ TRENDMICRO、ウイルスバスターはトレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。
