|
|
W32.Spybot.HUR
特徴
トロイの木馬型プログラム、spybotが小規模ながら確認されています。
(現在は、ボット(トロイの木馬)ですが、完全に自己増殖能力を持つ、”ワーム”の性質も持つ、複合型になりつつあります。)
1/31
WindowsNT,2000,XPに存在する、既知の脆弱性を利用する可能性ある、との報告が挙がっています。
これにより、脆弱性を放置しているPC(WindowsUpdate)は、ネットワークに接続しているだけで感染する恐れがあります。
新規に導入したPC(システムや、共用端末においては、確実に対処をして頂けるようにお願いします。
特定サイトや、ネットワークに対して異常な負荷を発生させる攻撃能力に特化した亜種も確認されており、
被害規模の増大が懸念されます。
・特定のエリアにおいて、散発的に発生している。
(発生する機体は、セキュリティレベルが並〜弱と様々で、更に脆弱なコンピュータが付近に存在するにも関わらず、
問題が発生するコンピュータは限られている(ネットワークでは直接感染しない可能性も)など。)
・ネットワークに接続していると、検知メッセージが表示される。
など、条件が矛盾している場合もあり、特徴が掴みづらい印象を受けます。
・発生ステージが疑似オープンソースへと以降している。
・プログラムとして単独動作する。 などのことから、多様な亜種が発生していることも一因と思われます。
今後も感染力・影響力(データ破壊など)を改悪した亜種が発生することはほぼ確実です。
セキュリティ情報には十分に注意して下さい(脆弱性の発見=悪用する亜種の発生まで間近)。
特に、データを共有するサービスを運用・利用している方は、十分な警戒が必要です。
感染力について
ファイルを実行しなければ感染しないと推測されます。(被害発生件数が少なく、特定スポットに限られていることから)
このため、実際の感染力は極低いと評価されます。
最後の感染プロセスは人為的な操作が必要(実行・ファイルを開くなど)
※ただし、プログラム単体であるが故に、メールの添付ファイルやP2P共有、共有フォルダ、メディアによる直接感染など、
経路を辿ることが非常に困難なことも挙げておきます。
また、感染力を強化した亜種の発生が予想されます。
影響力
直接的な破壊や攻撃手段は、現在のところ実装されていません。 (特定のサイトを攻撃する、トラフィックを増大させる亜種が発生)
しかしながら、感染機にバックドアを仕掛け、不正侵入や、他のウイルスへの抵抗力を低下させるなど、ダメージは小さくありません。
(リモートコントロールや、内部不正侵入への踏み台、ネットワーク感染型ワームへの布石)
遭遇頻度
共有フォルダ、NAS(ネットワークストレージ・HDD)、ファイルサーバ、FTPサーバ、DBサーバ(追記)などを使用している場合は、
特に注意が必要です。
i-diskなどに代表される、ストレージから直接感染するなど、経路の特定は困難であり、
各々が、”不審なファイルは開かない”という基本事項を守らない限りは、散発的な被害が繰り返されると思われます。
修復頻度
駆除は手動で行う必要があり、安全な状態へ戻すためには、煩雑な手順が必要です。
このファイルは、悪質なプログラムそのものであるため、ワクチンソフトによる駆除ができず、手動での対処が必要になります。
システムに関する重要な設定ファイル(レジストリ)の操作や、バックドアの修復など、若干専門的な知識が必要になります。
感染しないように注意することが肝要です。
拡散はファイル単位で行われ、対象に実行ファイル(bat、pif,exe,各種スクリプト)をコピー、もしくはダウンロードさせることによって為されます。
・ワクチンソフトを導入している場合、他のコンピュータに対して感染活動を行うたびに、検出報告メッセージが表示されます。
・ネットワークを通して、次の感染先を探すため、ネットワークに多量のデータが流れます。(ネットワーク機器・回線に負荷、速度低下)
・バックグラウンドで行われる感染活動に処理能力が割かれるため、処理速度が大幅に低下します。
・ネットワークを用いて、データを送信するため”ネットワークの状態”インジゲータの、
送信パケットの項目が、増加し続けます。
以後、Spybotが、感染活動(『周囲のコンピュータを探索し、脆弱なコンピュータを探す行為』) を行う都度、
ワクチンによって活動をブロック、以後の処置を問い合わせてくるため、研究・業務の遂行が難しい状態になります。
検知のタイミング
感染時は、”ワクチンソフトにより、拡散行為が頻繁に検知・警告されますが、駆除は行われない”状態になります。
共有フォルダをマウントしている場合は、感染した他の利用者より、当該フォルダへ複製が試行される都度、警告が発せられます。
留意点
巧妙にファイルの転送を行うため、誤って実行しないしないように注意が必要です。
付近のアクセス可能な共有フォルダへ、転移(複写)する
(恐らくは)メールによる実行ファイルの送信
P2Pファイル共有ソフトによる
ファイルサーバや、研究室・事務室の共有フォルダにアクセス可能なコンピュータが感染すると、
直接共有フォルダに自分を複製します。
コンピュータや、共有資源に対して、簡単な辞書によるパスワードクラックを試みるため、
安易なパスワードは大変危険です。
メールにての感染能力が付与される可能性が非常に高い種類です。
独立したプログラムであるため、Windowsシステムであれば、大抵の環境で動作します。
(複数の感染経路を持ち、必要な環境と、動作環境それぞれが異なります)
このため、”Windows95以降のWindows機全てが感染し得る”と言えます。
また、共有フォルダに寄生するため、他のOSのコンピュータも、
保持してしまう可能性が高く、感染経路(媒介)の一つになっています。
既知の脆弱性を利用し、ネットワーク経由で増殖を行う、ワームへと変化しつつあります。
WindowsNT,2000,XPシリーズについては、WindowsUpdateを行い、脆弱性を解消して下さい。
自衛方法
Windows Updateを行い、脆弱性を解消する。但し、SP2の適用に当たっては、
重要なデータについてはバックアップをとるなどの手法を行って下さい。
また、複数の感染経路を持つ(脆弱性に拠らない経路もある)ため、引き続き警戒が必要です。
ワクチンソフトの導入、定義ファイルのアップデート
共有フォルダの設定を見直して下さい。
共有フォルダ、辞書クラックなど、既存ウイルスがこれらの機能を実装する恐れがあります。
今後、セキュリティの脆弱性が発見された場合、直ちにネットワーク感染型ワームへ変貌する可能性があります。
(最後の感染プロセスに、脆弱性を利用した、自動実行のアルゴリズムを付加するなど)
ルータや、パーソナルファイヤーウォールを導入する。
ネットワーク感染機能を持つ亜種が発生する可能性があり、有効な自衛手段であると評価できます。
ただし、これらは、適切な設定がなされない場合、通常の通信に支障をきたす場合があります。
・各要所に設置することでネットワーク上におけるトラフィックを減少させる効果があります。
感染した場合、以下のサイトを参考に修復して下さい。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.spybot.worm.html