reasoning.org presents

hash's Security Alert

hash's Security Note

reasoning.org presents
CERT文書
和訳版

最近版

全CERT勧告

インシデントメモ

Tech Tips

CERT/CC presents

Advisories

Tech Tips

Incident Notes

Summaries

CERT IN-2001-15

この文書はCERT Incident Note文書の和訳である。和訳については一切の保証はしない。この文書を使った結果のあらゆる損害等について訳者は一切責を負わない。また、転載は禁じる。
この和訳は文書の性質上、in rushであり、訳の自然さよりも訳出の迅速さを目指している。内容の正確さについては訳者としての良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の性質上、ネットワーク管理者等であるため、この読者層に通じやすい訳語選定を心がけている。
この和訳はあくまでも訳者の個人的な関心に基づいて行われている。今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さがどこまでできるかが訳者の関心である)が、予告なく遅延、終了することがある。
本文書の和訳について、CERTから翻訳許諾は受けていない。が、こちらの申請に対して拒絶の返事も受けていない。CERT文書は周知のために再配布するといった行為を許可している。これが翻訳にもそのまま翻訳にも適用されるとは考えられない(翻訳は内容の変更を伴うため)が、その本来の精神には合致するものと考え、この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容についての責任は最初に書いたように負わない。
訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
関連文書はここにリストがある。

CERT^® Incident Note IN-2001-15

CERT Coordination Centerはインターネットコミュニティに対してインシデントに関する情報を提供するためインシデントメモ(incident note) を発行する。

W32/Goner ワーム

公開日: December 4, 2001

影響を受けるシステム

Microsoft OutlookをインストールしたMicrosoft Windowsを使っているシステム
Microfot OfficeとICQがインストールされたMicrosoft Windowsを使っているシステム

概要

W32/Gonerは電子メールの添付ファイルとして、また、ICQのファイル転送機能を経由して配布される悪意あるWindowsプログラムである。ユーザから見るとこのファイル (gone.scr)はWindows用スクリーンセーバに見える。W32/Gonerはユーザがこの"gone.scr" というファイルを実行したときにシステムに感染する。

説明

今朝遅く、CERT/CCはW32/Gonerという名で知られる新たな悪意あるコードに関する報告を受け取り始めた。それ以降、このコードがインターネット上でばらまかれているという報告がCERT/CCにどんどん来ている。

分析したところ、このコードは次のような特徴を持つ電子メールを通じて広がりつつある。

Subject:        Hi!

Body:   How are you ?
        When I saw this screen saver, I immediately thought about you
        I am in a harry, I promise you will love it!

Attachment:gone.scr

いくつかのウィルス対策ベンダは、このコードがICQメッセージングプログラムを介して流布していることもあるようだと述べている。 W32/Gonerは、感染したユーザのコンタクトリストに登録されたあらゆる"(その時点で)オンラインにいる"ユーザに対してファイル転送を開始すると考えられている。受け取り側のユーザがこの転送を許可すれば、このワームは自身のコピーを送りつける。

"gone.scr"というファイルが実行されると、このワームは斑点模様の画面(a splash screen)となり、誤ったエラーメッセージを表示する。こうすることでこのプログラムが適切なスクリーンセーバであるとユーザに信じさせようとしているのである。(その裏側で)このワームは自身のコピーをWindowsのシステムディレクトリにコピーし(通常はC:\WINDOWS\SYSTEM32\ scr.exeまたはC:\WINNT\SYSTEM32\scr.exeとなる)、Windowsレジストリに次のキーを追加することで、再起動時に自身が実行されるようにする。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ C:%WINDIR%\SYSTEM\gone.scr=C:\%WINDIR\SYSTEM\gone.scr

W32/Gonerは、自身をMicrosoft Outlookのアドレス帳に登録されたすべてのアドレス並びにICQコンタクトリストに登録されたすべてのオンラインユーザに送信することで自己流布を図る。

さらに、このワームは、さまざまなよく利用されるウィルス対策プログラムやセキュリティプログラムに関連するプロセスを探し、これを終了させる。この悪意あるコードのターゲットとなっているのは次のプロセス/ファイルである。

W32/Gonerがこうしたプログラムが動作しているのを検知すると、そのプロセスを終了し、その実行コードのあるディレクトリのすべてのファイルを削除する。ファイルをすぐに削除できない場合は、 WININT.INIというファイルを作成し、これが再起動時にファイル群を削除する。

また、W32/GonerはmIRCインターリレーチャットクライアントのサービス妨害(DoS)を行なうスクリプトもインストールしているようであるという証拠もある。

影響

このワームはシステムにインストールされたウィルス対策ソフトウェアやセキュリティソフトウェアを無効にすることがある。

このワームが伝播する際、経由点となるホストや電子メールシステムがサービス妨害(DoS)状態に陥るサイトもありえる。

解決策

ウィルス対策ソフトウェアを使い、常に最新状態に保て

ウィルス対策ソフトウェアをちゃんと更新していくのはユーザにとって重要なことである。たいていのウィルス対策ソフトウェアベンダはこの悪意あるコードを検知したり、感染した場合に部分的にでも修復したりする助けとなるよう、情報、ツール、ウィルスデータベースを更新したものを既に公開している。ベンダごとのウィルス対策情報については Appendix Aにまとめてある。

多くのウィルス対策ソフトウェアにはウィルス定義ファイルの自動更新機能がある。こうした自動更新機能が使える場合は使うことを我々は推奨する。

電子メールの添付ファイルを開いてはいけない

W32/Gonerワームは電子メールの添付ファイル(gone.scr)として届くことがある。ユーザはこの種の添付物を開くべきではない。一般に、いかなるものであろうと電子メールの添付物を開く際にはまずウィルス対策製品でスキャンしてからにするといった慎重さを発揮すべきである。

インスタントメッセージングアプリケーション経由のファイルを開いてはいけない

W32/GonerワームはICQファイル転送経由で届くこともあるだろう。 ICQユーザは電子メールの添付ファイルの際と同様、ファイル転送経由で受け取ったファイルを開く際には十分な慎重さを発揮すべきである。

電子メール添付ファイルをフィルタリングせよ

システム管理者はメールサーバにフィルタをインストールし、潜在的に有害なファイル(.exe, .vbs, .bat, .scrなど)が電子メールを経由して広がるのを防ぐようにするのもいいだろう。この場合、フィルタを使うことで "gone.scr"が広まるのを防げるであろう。

報告求む

CERT/CCはこの活動に関する報告を募集する。自分の管理下にあるマシンが攻略された場合、タイトル行に[CERT#2327693]を含めたメールをcert@cert.org に送られたし。

[訳注]当然のことだが、このタイトルのメールを含め、この文書の訳出上の問題/疑問点以外の情報を訳者に送られても何も対処はできないので、単なる FYIとして以外でこのワームについての情報を訳者に送るべきでない。

Appendix A. ベンダ情報

ウィルス対策ベンダ情報

上記の各ベンダに加えて、CERT/CCのコンピュータウィルス情報ページもある。

http://www.cert.org/other_sources/viruses.html

著者: Brian B. King, John Shaffer, Robert Hanson

この文書の原文は以下で入手できる。

http://www.cert.org/incident_notes/IN-2001-15.html

CERT/CCへの連絡は

電子メール: cert@cert.org
電話: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
郵便送付先:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

CERT/CCの職員は月曜～金曜の personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)であればホットラインを受け付けている。他の時間、合衆国の祝日、週末も緊急時のため待機している。

暗号を利用する

セキュリティ上微妙な情報を電子メールで我々に送る場合は暗号化することを強く推奨する。我々の公開PGP鍵は以下で入手できる。

http://www.cert.org/CERT_PGP.key

DESを利用したい場合は、CERTホットラインに電話して欲しい。

セキュリティ情報を得る

CERTの出版物ならびにその他のセキュリティ情報はCERTのウェブサイトで見ることができる。

http://www.cert.org/

CERTの勧告、速報を配布するメーリングリストを購読したい場合は、 majordomo@cert.org に本文が次のようなメールを送ること。

* "CERT" 並びに "CERT Coordination Center" はU.S. Patent and Trademark Officeに登録されている。

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.

Conditions for use, disclaimers, and sponsorship information

更新履歴

December 4, 2001: 初版公開

この和訳は橋本喜代太(hash@reasoning.org)が行った。和訳公開は原文をCERTのウェブで発見してから約1時間半後であるが、 CERTのウェブで公開されてから約7時間後と推測される。

本和訳の改訂履歴
2001年12月5日午後4時35分 (JST) 初版公開

訳者並びに連絡先: 橋本喜代太

CERT IN-2001-15

CERT® Incident Note IN-2001-15

W32/Goner ワーム

影響を受けるシステム

概要

説明

影響

解決策

ウィルス対策ソフトウェアを使い、常に最新状態に保て

電子メールの添付ファイルを開いてはいけない

インスタントメッセージングアプリケーション経由のファイルを開いてはいけない

電子メール添付ファイルをフィルタリングせよ

報告求む

Appendix A. ベンダ情報

ウィルス対策ベンダ情報

Computer Associates

F-Secure Corp

McAfee

Norman Data Defense Systems

Sophos

Symantec

Trend Micro

CERT/CCへの連絡は

暗号を利用する

セキュリティ情報を得る

CERT^® Incident Note IN-2001-15