マイフラッグ

マイフラッグ

MSNメッセンジャー使用ワームの被害拡大


私の備忘録

●MSNメッセンジャーワームに関する追加情報 2/15 13:26(ヤフーニュースから)
 昨日お届けしたMSNメッセンジャーを対象としたワーム「CoolNow」に関する情報が更新されている。
 このワームは、マイクロソフトが11日に公開を開始したInternet Explorerの累積パッチで問題が修正可能となっている。すでにお伝えしているとおり、このパッチは下記のURLより入手が可能だ。

■累積パッチダウンロードサイト
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/JAPAN/technet/security/bulletin/ms02-005ov.asp

 また、マイクロソフトよりこのワームに関する情報が記載されているページの公開が開始された。

■CoolNow に関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/coolnow.asp

 現在、2ちゃんねるなどの掲示板やニュースサイトの一部で関連情報が掲載されているが、このワームのソースに記載されているURLにはくれぐれもクリックしないようにご注意いただきたい。


□ 関連情報
MSNメッセンジャーを使用するワームの被害が拡大
(2002.2.14)
https://www.netsecurity.ne.jp/article/1/3955.html


詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm (Scan)

●MSNメッセンジャーを使用するワームの被害が拡大 2/15 4:08(ヤフーニュースから)
 マイクロソフト社製のMSNメッセンジャーを使用して感染するワーム「Menger」およびその亜種と思われるワームが被害を拡大している。
 このワームはMSNメッセンジャーを使用して以下のようなメッセージを送信する。

”ATTeNT!oN - Go to: http://www.*******.com/elite_Xjp/teztx1.htm Now”

”URGENT - Go to http://*********.be/dark.angel/cool.htm”

”Go To http://www.************.net/cool.html NoW !!! ”

 メッセージに含まれるURLへとアクセスすると、不正なスクリプトが実行さ
れる。

 Mengerは実行されると、MSNメッセンジャーに登録されているメンバー全員に最初に受信した内容と同じメッセージを送信する。その他に確認されている活動としては、次のようなものがある。”Please Wait...”という文字列を表示し、さらに別ウィンドウでMSNへの接続を試行、MSNメッセンジャーに登録されているメンバーの名前やログオンネームを収集し、特定のメールアドレスまたはWebサーバへと送信する。

 なお、この件に関してマイクロソフト社から配布されている最新のパッチMS02-005で対処できるとされている。

■マイクロソフトパッチダウンロードサイト
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/JAPAN/technet/security/bulletin/ms02-005ov.asp

※1:感染の危険があるため、URLの一部を伏せております。
   その他にも複数の活動が報告されているため、情報がまとまり次第続報をお伝えします。


 関係各所の対応は以下の通り。


▼トレンドマイクロ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 パターンファイル224で対応。

ウイルス詳細:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_MENGER.GEN
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/index.htm

▼シマンテック
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 2月14日付けの定義ファイルで対応。

ウイルス詳細:
http://securityresponse.symantec.com/avcenter/venc/data/js.menger.worm.html (英文)
定義ファイルダウンロードサイト:
http://securityresponse.symantec.com/avcenter/download.html

▼ネットワークアソシエイツ
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 DATファイル4187で対応。

ウイルス詳細:
http://vil.nai.com/vil/content/v_99356.htm (英文)
DATファイルダウンロードサイト:
http://www.mcafeeb2b.com/naicommon/download/default.asp (英文)

▼MSN
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 マイクロソフト社から配布されているパッチの摘要を推奨。なお、MSNメッセンジャーの次期バージョンではこの問題は解決されるとのこと。

http://help.msn.co.jp/maintenance.htm#MESBUD


 □:関連情報

 BugTraq
http://www.securityfocus.com/archive/75/256084

 2ch
http://pc.2ch.net/test/read.cgi/sec/1013660945/

注:関連情報ほか、この件に関しての情報掲載サイトに表示されているURLには注意し、安易にクリックしないようにしてください。(Scan)

●MSNMessengerとIEのセキュリティーホールを組み合わせたワームが登場 2/15 9:57(ヤフーニュースから)
2月14日,マイクロソフトのインスタントメッセージソフトウェア「MSN Messenger」を利用して,不正なスクリプトを含んだURLを送信するワームが発見された。

トレンドマイクロによれば,今のところ,このワームが原因となった被害報告は寄せられていないという。だが,複数のユーザーがワームによるメッセージを受け取ったことが確認されているのも事実であり,同社では警戒を呼びかけている。

ワームの名称は「JS_MENGER.GEN」もしくは「CoolNow」。特徴は,メッセージが広まる経路はMSN Messengerだが,ワーム本体は,Internet Explorer(IE)に存在するセキュリティホールを悪用してマシンに感染することだ。

JS_MENGER.GEN/CoolNowのは,MSN Messengerのメッセージとして,「ATTeNT!oN - Go to:」「URGENT - Go to」といった文字列の後にURLが記載されたメッセージを送信する。このURLは不正なスクリプトを含んだものであり,メッセージを見たユーザーに該当URLをクリックさせるという手法で感染を広めようとする。

ここで,先日公開された「IE用の累積的な修正プログラム」(MS02-005)を適用していないIEを利用している場合,メッセージに含まれているURLをクリックすると,IEのウィンドウが起動してフルスクリーンで表示される。この際,ワームに含まれたスクリプトが実行され,マシンに感染してしまうという。逆に言えば,単にメッセージを受け取っただけでは感染しない。

ワームはその後,ユーザーには「Please Wait...」という文字列を表示する一方で,MSNへの自動ログオンを試みる。また,MSN Messengerの友達リストに登録されたメンバー全員に,自身の不正スクリプトを含んだメッセージを送信し,さらに感染を広げようとする。

ワームはまた,リストに登録されたメンバー名やログオンネームといった情報を収集し,特定のメールアドレスなどに送信しようとも試みるという。

マイクロソフトではこのワームへの対処策として,IE 5.5 Service Pack 2もしくはIE 6にMS02-005を適用するよう強く推奨している。

また,トレンドマイクロによれば,マシンに感染した後のワームの検知・除去は可能だが,MSN Messengerを通じて送られてくるメッセージ自体は不正プログラムではないため,ウイルス対策ソフトを用いて検出することはできないという。したがって,不審なURLが記載されたメッセージが送られてきた場合,それを安易にクリックしないように呼びかけている。(ZDNet)
© Rakuten Group, Inc.
X
Design a Mobile Website
スマートフォン版を閲覧 | PC版を閲覧
    Share by: