「Here you have」ウイルス(別名「W32/VBMania@MM」)が蔓延中

マカフィーは本日、「W32/VBMania@MM」を「危険度:中」と警告しました。McAfee Labsでは、このウイルス増殖過程でメールの件名を利用する、通称「Here you have」ウイルスという新たな脅威を調査中です。既に、様々な亜種が蔓延している可能性があると見られ、詳細を全て明らかにするには時間がかかると思われます。つきましては、現時点で判明している内容を説明します。

感染性のメールメッセージには、以下のプロパティが含まれている可能性があります。


件名: Here you have または Just For you
本文:

Hello:(こんにちは)

This is The Document I told you about,you can find it Here.(前にお話しした文書は下記にあります)
http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf

Please check it and reply as soon as possible.(ファイルを確認したら、早めにご返信ください)

Cheers,(それでは)

または

Hello:(こんにちは)

This is The Free Dowload Sex Movies,you can find it Here.(下記サイトから無料セックス動画をダウンロードできます)
http://www.sharemovies.com/library/SEX21.025542010.wmv

Enjoy Your Time.(お楽しみください)

Cheers,(それでは)


実際には、このURLが誘導するのはPDF文書ではなく、members.multimania.co.ukという別のドメインが提供する偽装された実行ファイルです。既にこのURLにはアクセス不可となっていますので、メールの感染ベクターは無力化していると思われます(ただし、既に感染しているホストが、メールメッセージを蔓延させ続けている可能性があります)

下記は、この脅威の活動に関する追加情報です。
Generic.dx!tsp!2BDE56D8FB2D – http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=275352
W32/VBMania@MM – http://www.mcafee.com/japan/security/virV.asp?v=W32/VBMania@MM

ユーザーがハイパーリンクを手動で選択すると、ウイルスのダウンロードや実行が指示されます。実行すると、ウイルスは自身をCSRSS.EXEという名でWindowsディレクトリにインストールします(Windows Systemディレクトリにある有効なCSRSS.EXEファイルと混同しないでください)。一旦感染すると、このワ―ムは、先述のメッセージをアドレス帳に登録されている受信者宛に送信しようと試みます。また、Autorunレプリケーションにより、アクセス可能なリモートマシン、マップ済みドライブ、リムーバブルメディアを介して拡散することもあります。

アクセス可能なリモートマシン
ウイルスが検出される可能性のあるロケーションは、以下のとおりです。

  • c:\N73.Image12.03.2009.JPG.scr
  • d:\N73.Image12.03.2009.JPG.scr
  • E:\N73.Image12.03.2009.JPG.scr
  • F:\N73.Image12.03.2009.JPG.scr
  • G:\N73.Image12.03.2009.JPG.scr
  • H:\N73.Image12.03.2009.JPG.scr
  • New Folder\N73.Image12.03.2009.JPG.scr
  • music\N73.Image12.03.2009.JPG.scr
  • print\N73.Image12.03.2009.JPG.scr

マップ済みドライブ、リムーバルメディア
その他のドライブには、作成されたワームのコピー「open.exe」を指定するAutorun.infファイルが含まれている可能性があります。

ウイルスは、下記のようなセキュリティサービスの停止や削除を試みます。

  • 0053591272669638mcinstcleanup
  • AntiVirFirewallService
  • AntiVirMailGuard
  • AntiVirSchedulerService
  • AntiVirService
  • Arrakis3
  • aswUpdSv
  • Avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • AVG Security Toolbar Service
  • avg9wd
  • Avgfws9
  • AVGIDSAgent
  • AVP
  • Gwmsrv
  • LIVESRV
  • Mc0DS
  • Mc0obeSv
  • McAfee SiteAdvisor Service
  • McMPFSvc
  • mcmscsvc
  • McNASvc
  • McProxy
  • McShield
  • mfefire
  • mfevtp
  • MSK80Service
  • NIS
  • Panda Software Controller
  • PAVFNSVR
  • PavPrSrv
  • PAVSRV
  • prlo
  • PSHost
  • PSIMSVC
  • PskSvcRetail
  • scan
  • sdAuxService
  • sdCoreService
  • SfCtlCom
  • TMBMServer
  • TmProxy
  • TPSrv
  • VSSERV

また、このウイルスは、下記のようなさまざまなファイルのダウンロードを試みます。

  • ff.iq
  • gc.iq
  • ie.iq
  • im.iq
  • m.iq
  • op.iq
  • pspv.iq
  • rd.iq
  • w.iq
  • SendEmail.iq
  • hst.iq
  • tryme.iq

現時点で、既にこれらのファイルは無効になっています。ただし、これらの名前の付いたファイルには、UPX圧縮されたパスワード復元ツール(ChromePass、OperaPassview)や、UPX圧縮されたSysinternalsツール(PSExec)、悪意のあるHOSTSファイルが含まれています。

ウイルスの特徴や駆除方法にについて詳細は、下記ページをご覧ください。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Widespread Reporting of “Here you have” Virus (aka W32/VBMania@MM)

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速