新ワーム「Lebreat」、亜種3種類が相次ぎ出現

電子メールで拡散し、トロイの木馬でDoS攻撃を仕掛ける新種のワームとその亜種が見つかった。

» 2005年07月16日 08時01分 公開
[ITmedia]

 セキュリティ企業のF-Secureは7月15日、PCに裏口を開いてトロイの木馬をダウンロードし、サービス妨害(DoS)攻撃を仕掛ける新ワーム「Lebreat」について情報を公開した。最初のバージョンが出現した直後に、亜種が2つ登場しているという。

 Lebreatは電子メールで拡散するワームで、偽の送信者アドレスを使い、「Hi」「**WARNING** Your Account Currently Disabled」「Importnat Information」「Mail Delivery System」などの件名で届く。本文には「Your credit card was charged for $500 USD」(クレジットカードに500ドルが課金されました)などと記され、添付ファイルを開かせようとする。

 システムに感染すると、HDDとメモリドライブから電子メールアドレスを収集。また、MicrosoftのLSASSの脆弱性(MS04-011で対処済み)を突いて拡散する機能も持つ。

 感染システムではTCPポート8885にバックドアを作成、FTPサーバの機能を果たしてユーザーのファイルを操作できるようにしてしまう。トロイの木馬をダウンロードする機能もあり、「j0r.biz」というWebサイトから「UPDATE3.EXE」のファイルをダウンロードして実行。SymantecのWebサイトにサービス妨害(DoS)攻撃を仕掛けようとする。

 さらに、レジストリキーの値を設定してWindowsのセキュリティ設定を変えようとするほか、System Restore、レジストリツール、自動アップデートなどの機能も停止させようとする。ただ、F-Secureのテストではこれはうまくいっていないという。

 「Lebreat.A」と、その亜種の「Lebreat.B」「Lebreat.C」ともほぼ同一の機能を持つとされる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ