CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-22

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-22
W32/Sircamの悪意あるコード

Original release date: July 25, 2001

Last revised: -- 


Source: CERT/CC

本文書の原文は http://www.cert.org/advisories/CA-2001-22.htmlである。

本文書の完全な更新履歴は末尾にある。

影響のあるシステム

  • Microsoft Windows (全バージョン)

    • 概要

    "W32/Sircam"は悪意あるコードで電子メールを通じて広まるもので、 さらには潜在的には無防御のネットワーク共有を通じても広まる。 この悪意あるコードがいったんシステム上で実行されると、秘匿したい(sensitive) 情報を漏洩させたり削除したりする。

    2001年7月25日10時00分(EDT = GMT-4)時点で、CERT/CCは300以上のサイトから W32/Sircamの報告を受けている。

    I. 記述

    W32/Sircamがマシンに感染するやり方は2つある。

    • この悪意あるコードを含む電子メール添付ファイルを開くことに よってW32/Sircam(の複製)が実行されたとき
    • 自身を無防御のネットワーク共有ドライブ(マシン)に複製される場合

    電子メールによる伝播

    このウィルスは、一見無意味なタイトル行(subject行)で、英語または スペイン語で書かれた電子メールメッセージの中に潜んでいる(訳注:ここで 言う「電子メールメッセージ」とは添付物も含めたメール全体のことである)。 W32/Sircamの現在判明しているバージョンはどれもメッセージ本体に次のような 書式を使用している。

    英語スペイン語
           Hi! How are you?
       [middle line]
       See you later. Thanks

           Hola como estas ?
       [middle line]
       Nos vemos pronto, gracias.

    [middle line]のところは次のうちのいずれかである。

    英語
    I send you this file in order to have your advice
I hope you like the file that I sendo you
I hope you can help me with this file that I send
This is the file with the information you ask for
    スペイン語
    Te mando este archivo para que me des tu punto de vista
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Este es el archivo con la informacion que me pediste

    電子メールを通じてこの悪意あるコードのコピーを受け取ったユーザは 送り主が誰なのか分かっている場合もあるだろう。しかし、我々が推奨する のは、事前にファイルの来歴が分からない状態、または有効な電子署名が 付けられていない状態では、送り主(の名前)が誰かに関わらず、電子メール を通じて受け取った添付ファイルを開くことは避けるべきだ、というもので ある。

    この電子メールメッセージにはファイルが添付されており、そのファイル名は メールのタイトル行と合致し、ファイル拡張子が2つついている(例: subject.ZIP.BATsubject.DOC.EXE)。 CERT/CCが確認した報告では、最初の拡張子は .DOC, .XLS, .ZIPのいずれかである。 ウィルス対策ベンダはこの他にも .GIF, .JPG, .JPEG, .MPEG, .MOV, .MPG, .PDF, .PNG, .PSがあり得るとしている。 2つ目の拡張子は .EXE, .COM, .BAT, .PIF, .LNKのいずれかである。 添付されたファイルには悪意あるコードと感染したシステムからコピーした ファイルの内容が含まれている。

    添付ファイルを開くと、複製されたファイルが 感染したシステムの%TEMP%フォルダ(通常は、 C:\WINDOWS\TEMP)と、 Recycledフォルダに展開される。 オリジナルのファイルは適切なデフォルトのビューアでオープン されることになるが、その間、バックグラウンドで感染の作業は 続けて行なわれている。

    「登録された拡張子を表示しない」という設定がWindowsで有効に なっている場合、.EXE, .BAT, .COM, .LNK, or .PIFといった拡張子は表示されないため、 受取人は誤ってこの悪意ある添付ファイルを開いてしまう可能性がある。 この「登録された拡張子を表示しない」という設定に付けこむ攻撃に ついてはIN-2000-07 に情報がある。

    [訳注: これは任意のフォルダウィンドウで[ツール]メニューの [フォルダオプション]を選択し、[表示]タブの上から9つ目前後に設定場所がある]

    W32/Sircamには自前のSMTPクライアント機能があり、電子メールを通じた伝播 をするのに使われる。W32/Sircamは%SYSTEM% フォルダ内のすべての*.wab(Windowsのアドレス帳) に登録された電子メールアドレスを次々と検索することによって、メール送信先 を決定する。さらに、次のレジストリで指定されたフォルダを検索し、電子メール アドレスを含むファイルを見つけ出そうとする。

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
    見つけたアドレスはすべて%SYSTEM% フォルダに隠しファイルSC??.DLLまたは S??.DLLに保管される。

    W32/Sircamはまず、カレントユーザのデフォルトの電子メール設定 を使ってメッセージを送信しようとする。デフォルト設定がなければ、 次のSMTPリレーのいずれかを使おうとするようである。

    • prodigy.net.mx
    • 'MAIL'用のNetbios名
    • mail.<defaultdomain> (例: mail.example.org)
    • dobleclick.com.mx
    • enlace.net
    • goeke.net

    ネットワーク共有ドライブを通じた伝播

    電子メールによる伝播だけでなく、ウィルス対策ベンダの分析に よると、W32/Sircamは無防御のネットワーク共有ドライブを通じても 伝播する可能性がある。電子メールによる伝播の場合は、マシンに 感染するためにはユーザが添付ファイルを開く必要があるわけだが、 ネットワーク共有ドライブを通じたW32/Sircamの伝播はまったく人間 が関与することなく行なわれることになる。

    W32/Sircamが書き込み権限のあるWindowsネットワーク共有ドライブを 発見すると、

    1. 自分自身の複製を\\[share]\Recycled\SirC32.EXEとして作成する。
    2. AUTOEXEC.BATに "@ win\Recycled\SirC32.exe"という行を追加する

    共有ドライブにWindowsフォルダがあれば、 さらに次のようなことを行なう。

    1. \\[share]\Windows\rundll32.exe\\[share]\Windows\run32.exeへコピーする
    2. 自分自身の複製を\\[share]\Windows\rundll32.exeとして作成する
    3. ウィルスがrundll32.exeから実行されると、 run32.exeを呼び出す。

    感染の実態

    1. 犠牲となったマシンにインストールされると、W32/Sircamは自身の複製を 2つの隠れファイルとして作成する。
      • %SYSTEM%\SCam32.exe
      • Recycled\SirC32.exe

      後者についてはRecycledにインストールされ、 ウィルス対策ソフトウェアによっては標準設定ではこのフォルダをチェック しないために、ウィルス対策ソフトウェアでも見逃すことがある。

      外部機関の分析に基づく情報だが、W32/Sircamは自分自身を ScMx32.exeというファイルとして %SYSTEM%フォルダにコピーする可能性も ある。この場合、別の複製が HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup(カレントユーザの個人別スタートアップフォルダ) で指定されたフォルダにも作成される。この位置に作成された複製は Microsoft Internet Office.exeというファイル名になっている。感染したユーザが次に ログオンした時点で、このW32/Sircamの複製は起動時に自動的に実行される ことになる。

    2. レジストリ項目 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32 が、%SYSTEM%\SCam32.exeに設定され、 その結果、W32/Sircamはシステムの起動時に自動的に実行される。

    3. レジストリ項目 HKEY_CLASSES_ROOT\exefile\shell\open\command が、"C:\Recycled\SirC32.exe" "%1" %*" に設定され、その結果、W32/Sircamは他の実行ファイルが実行されるごとに 実行されるようになる。

    4. 新たなレジストリ項目 HKEY_LOCAL_MACHINE\Software\SirCamが作成され、 実行中にW32/Sircamが要求するデータを保管する。

    5. W32/Sircamは次に示すレジストリで指定されているフォルダ内を検索して .DOC, .XLS, .ZIPの各拡張子がついたファイル名を見つけようとする。

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop

      個人フォルダは設定によっていろいろだが、\My Documents (マイドキュメント)または\Windows\Profiles\%username%\Personalに設定されていることが多い。こうしたファイルのリストは %SYSTEM%\scd.dllに保管されている。

    6. W32/Sircamは、見つけたファイルに自分自身のバイナリを添付し、 Recycledフォルダにそのファイルを 保管する。

    II. 影響

    W32/Sircamは感染したコンピュータに対しても、感染したコンピュータが 電子メールを通じて通信を行なう他のコンピュータに対しても直接的な 影響を及ぼす。

    • 秘匿性の侵害: この悪意あるコードは最小限の被害としても、選択されたフォルダを 検索し、秘匿すべき内容があるかもしれないファイルをメールで送信する。 この種の攻撃はきわめて重大である。というのは、この攻撃が行なわれた 場合、修復は不可能であるからだ。いったんファイルが広く配布されて しまえば、そのファイルにあったかもしれない秘匿すべき情報はもはや 秘匿し直せなくなる。

    • 使えるリソースを減らしてしまう(サービス拒否)

      • ハードディスクの残り領域を食いつぶす: 外部機関の分析に基づくことだが、任意の日に、W32/Sircamは C:\Recycled\sircam.sysという ファイルを作り、C:ドライブの 残り領域をすべて消費する、という可能性がある。ディスクがフル になることで、ユーザはそのドライブにファイルを保存することが できず、設定によってはシステムレベルのタスク(スワップや印刷など) が正しく動作しなくなることがある。

      • 大量に電子メールを送信することによって伝播する: W32/Sircamは上記で記述したやり方で取得したメールアドレスに対して 電子メールを通じて自分自身を送信することによって伝播しようとする。 こうして伝播することによって、W32/Sircamが想定されたようには機能 させないようなメールサーバで輻輳が発生する可能性がある。

        注記: W32/Sircamは予め指定されたされたメールサーバへ接続するW32/Sircam 独自のSMTP ルーチンを使うため、利用しているメールクライアントソフトウェアとは無関係に 伝播していくことになる。

    • 正当性の喪失:公開された報告によれば、 来る10月16日になると、W32/SircamはWindowsがインストールされた ドライブ(典型的にはC:ドライブ)上のすべてのファイルを 次々と削除しようとする可能性がかなり高い。

    III. 解決策

    ウィルス対策ソフトウェアを使い、常に最新状態に保て

    ウィルス対策ソフトウェアをちゃんと更新していくのはユーザにとって 重要なことである。たいていのウィルス対策ソフトウェアベンダはこの悪意ある コードを検知したり、感染した場合に部分的にでも修復したりする助けとなる よう、情報、ツール、ウィルスデータベースを更新したものを既に公開している。 ベンダごとのウィルス対策情報についてはAppendix Aにまとめてある。

    多くのウィルス対策ソフトウェアにはウィルス定義ファイルの自動更新機能が ある。こうした自動更新機能が使える場合は使うことを我々は推奨する。

    電子メールの添付ファイルを開くときは十分気をつけよ

    ファイルが添付された電子メールを受け取った際は十分な注意を払いたい。 ユーザは信頼できないところから来たメールの添付ファイルを開く べきではないし、いかなる意味でも怪しげに見える添付ファイルは 開くべきでない。また、ファイルの完全性を保証するのに暗号による チェックサムも利用すべきである。

    この種の悪意あるコードの影響を受けるのは、問題となるファイルを 実行した場合だけである。ソーシャルエンジニアリング で、受取人をだまして悪意あるファイルを実行させようとすることも 多い(訳注: メール本体などにいかにもこのファイルを実行したくなる、 ないし、実行せざるを得ない気にさせる内容を書いておくなど、人間の 心理に訴えかける手法がソーシャルエンジニアリングである)。 悪意あるファイルに関してもっとも役に立つ助言をするとすれば、 何よりもそうしたファイルを実行しないようにしろ、ということである。 次のtech tip文書はどのように悪意あるファイルを避けるべきかについて 解説している。

    2000年またはそれ以降に電子メールを媒介とするウィルスやその他の悪意あるコードから どうやって自分を防衛するか; (訳注: 和訳準備中)

    電子メールにフィルタリングを使うか、ファイアウォールを使え

    サイトによっては、悪意あるコードを含むことが知られているメールの タイトル行を含むメッセージを削除するような電子メールフィルタリング を利用したり、添付ファイルのあるメールをすべてフィルタリングするような ことが対策が取れる。

    同様に、ファイアウォールまたはボーダールータを使って、 W32/Sircam(を含むメール)がローカルネットワーク外のメールサーバ へSMTP接続するのを停止させることができる。このフィルタリングに よって、ローカルのメール設定が使用されない場合でも、このワームが 特定のホストからさらに伝播するのを防ぐことができる。

    Appendix A. - ベンダ情報

    Aladdin Knowledge Systems

    http://www.esafe.com/home/csrt/valerts2.asp?virus_no=10068

    Central Command, Inc.

    http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010718-000010

    Command Software Systems

    http://www.commandsoftware.com/virus/sircam.html

    Computer Associates

    http://www.cai.com/virusinfo/encyclopedia/descriptions/s/sircam137216.htm

    Data Fellows Corp

    http://www.datafellows.com/v-descs/sircam.shtml

    McAfee

    http://vil.mcafee.com/dispVirus.asp?virus_k=99141&

    Norman Data Defense Systems

    http://www.norman.com/virus_info/w32_sircam.shtml

    Panda Software

    http://www.pandasoftware.es/vernoticia.asp?noticia=987

    Proland Software

    http://www.pspl.com/virus_info/worms/sircam.htm

    Sophos

    http://www.sophos.com/virusinfo/analyses/w32sircama.html

    Symantec

    http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html

    Trend Micro

    http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRCAM.A

    関心のある人はCERT/CCのコンピュータウィルスに関する情報ページも参照されたい。

    http://www.cert.org/other_sources/viruses.html
    著者: Roman Danyliw, Chad Dougherty, Allen Householder
    この文書の原文は次で入手できる。 http://www.cert.org/advisories/CA-2001-22.html

    CERT/CC Contact Information

    Email: cert@cert.org
    Phone: +1 412-268-7090 (24-hour hotline)
    Fax: +1 412-268-6989
    Postal address:
    CERT Coordination Center
    Software Engineering Institute
    Carnegie Mellon University
    Pittsburgh PA 15213-3890
    U.S.A.
    CERT personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4) Monday through Friday; they are on call for emergencies during other hours, on U.S. holidays, and on weekends.

    Using encryption

    We strongly urge you to encrypt sensitive information sent by email. Our public PGP key is available from

    If you prefer to use DES, please call the CERT hotline for more information.

    Getting security information

    CERT publications and other security information are available from our web site

    To subscribe to the CERT mailing list for advisories and bulletins, send email to majordomo@cert.org. Please include in the body of your message

    subscribe cert-advisory

    * "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

    NO WARRANTY
    Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
    Conditions for use, disclaimers, and sponsorship information

    Copyright 2001 Carnegie Mellon University.

    更新履歴 

    July 25, 2001: 第1版公開
July 25, 2001: このウィルスはアドレス帳を探すのにデスクトップのレジストリキーは
検索しない。また、ESTと書いた箇所をEDTに訂正した。
    この翻訳は橋本喜代太(hash@reasoning.org)が行った。 翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに メールが届いた時点であり、訳者自身がメールを見た時点ではない) 約10時間半後である。

    本和訳の改訂履歴
    2001年7月26日午後2時30分 (JST) 初版公開
    2001年7月27日午後3時27分 (JST) 原文の訂正と付記に追従

    訳者並びに連絡先: 橋本喜代太