|
|
ウイルス情報
新種ウイルスRemote Explorerへの対応のお知らせ(98/12/22)
ウイルス名:Remote Explorer
- 1998/12/17 に米NAIユーザーのサイトにて発見されました。
- 主にNTサーバ、NTワークステーションを標的にしています。
- メモリ常駐型ウイルスとして、EXE、TXT、HTMLファイルを暗号化します。
- LAN/WAN環境を通じて繁殖します。
以下に該当する場合、システムはRemote Explorerに感染しています。
- NTコントロールパネルから「サービス」をオープンして、"Remote Explorer"というサービスがあった場合、システムはウイルス感染しています。
- スタートメニューからTSKMGR.EXEを実行してください。プロセス・タブの中に、IE403R.SYSまたはTASKMGR.SYS(EXEではない)がプロセスとして存在していた場合、システムはRemoteExplorerに感染しています。
ウイルスの性質
Remote Explorerの最大の特徴は、ウイルスの移動、自己転送、複製に際し、ユーザーの仲介(FDの手渡し、電子メール)を必要としないことです。
- Remote Explorerは、ターゲットEXEファイルを圧縮することによりNTサーバ、NTワークステーションの双方で繁殖することを可能にした初のウイルスです。
- Remote Explorerは、NTドライバ・ディレクトリに自分の複製を作成することによりウイルスのシステム・インストールを果たし、さらに自分自身をie403r.sysと名付けます。また"RemoteExplorer"という名前で自分自身をサービスとしてインストールします。この時、DLLを同時に運び込みます。このDLLは感染と暗号化のプロセスに際しウイルスを支援する役割を果たします。
- Remote Explorerは、ドメイン・アドミニストレータのセキュリティ特権を盗み取って繁殖することが、予備調査により判明しています。このことはRemote Explorerが他のシステムへ感染可能なことを意味しています。感染に際し、ファイルを圧縮し、さらにデータへランダムな暗号化を施します。
- Remote ExplorerはWindowsNTで継続繁殖します。ただし他のWindows OSでもRemoteExplorer感染ファイルが保持されることがあります。しかしそうしたプラットフォームではウイルスはそれ以上繁殖することはありません。
- 任意のEXEファイルに感染できます。感染の際、圧縮ルーチン(別名 GZIP, UNIXペース・プログラム)を使い、ファイルを使用不可能にします。
- TXT形式、HTML形式などのデータファイルにおいて暗号アルゴリズムを使用しています。ディレクトリをランダムに選択し、ウイルス自身が設定した基準に合致するファイルに対しては感染を行い、それ以外のファイルに対しては、暗号化を施します。
- 本ウイルスは125KBのファイル感染型ウイルスです。約50,000 行のコードから成っています。きわめて大規模で複雑なウイルスです。
- 本ウイルスは、C言語で書かれており、作成には200人時を要すると見積もられます。何人かで共同作成し、プリコンパイル・コードを集成したものと思われます。
- 本ウイルスはメモリ常駐型です。RESCAN.EXEというユーティリティがRESCAN.ZIPをダウンロードすることによって使用することが出来ます。RESCAN.EXEはデータファイルの暗号化を取り除いたり、感染ファイルの解凍が出来ます。RESCAN.EXEはウイルスを再起動せずにサービスとして駆除し、暗号化されたデータファイルや感染した実行形式ファイルを元に戻したり、修復したりできます。これは、オプションのパラメーターをつけたコマンドライン ユーティリティです。検出はVirusScan v3.x等でも出来ますが、駆除はRESCAN.EXEでしか出来ません。
- 感染に際し一個のDLLを同送します。このDLLはウイルスを支援する役割を果たします。DLLが削除された場合でも、RemoteExplorerにより新たなコピーが作成されます。
- 本ウイルスには、タイムルーチンが含まれています。このルーチンは、毎週、土曜日午後3時〜日曜午前6時にかけて、検索、感染プロセスを高速化させるよう設定されています。
- 本ウイルスにペイロードはありません。
- 本ウイルスはワトソン博士プログラムと何らかの相互動作を行うことがあります。相互動作の詳細は現在、調査中です。
RemoteExplorerへの対処方法
- 本ウイルスはメモリ常駐型(サービス常駐)ですので、ウイルス検査の際は、本ページに示す推奨対処方法に従うことをお勧めします。あるいは、本ページ冒頭に記したタスクマネージャの目視確認などを通じた発見をお勧めします。
- 検出、駆除、共に可能な、RESCANプログラムをダウンロードして対処することが可能です。
- NAIウイルス対策製品でエンジンのバージョンが(v3.2.0以上)のものであれば、AVERT ベータサイトから最新のウイルスDATファイル(β版)その他をダウンロードすれば、本ウイルスを検出できます。
- 本ウイルスを発見した場合は、至急ネットワーク アソシエイツ社までご連絡ください(TEL: 03-5428-1100(代表))
- 本ウイルスは、米国で被害報告がありましたが、日本ではまだ被害報告はありません(弊社調べ)
Remote Explorerへの推奨対処方法
NT サーバ、ワークステーションの場合
- 感染システムをシャットダウンしてください。
- 感染マシンをネットワークから隔離してください。あるいは物理的にケーブルを抜くなどして除外してください。
- そのシステムが主に交信した他のマシンを特定してください。
- 感染を最小限に食い止めるため、そのマシンが属するネットワーク・セグメントをWANから切断してください。
-
感染NTシステムが、FATをブートパーティションとして使っている場合:
システムを、既知のクリーンFDからブートし、RESCANをダウンロードし、すべてのハードドライブをウイルス検査してください。これはRemote Explorerがメモリ常駐型であることを考慮したものです。
- 感染NTシステムがNTFSをブートパーティションとして使っている場合:
NTFSをプライマリ・ブート・パーティションとして使っている場合、システムを隔離しなければなりません。あるいはNTネイティブのソリューションが見つかるまで、そのシステムの電源をOFFにしておく必要があります。
- オン・デマンド・スキャン検査が終了したら、感染ファイルをOS環境から移動、削除してください。さらにクリーンなバックアップからのファイル復旧、あるいはOSの再インストールを行ってください。
- システムを再起動してWindowsを呼び出してください。
- エンジンバージョンが3.2.0以降のVirusScan NTまたはNetShield NTをインストールし、さらに最新のDATファイルをダウンロードし、VirusScanディレクトリに解凍してください。
- この際、常駐オン・アクセス検査が確かに作動していることを確認してください(製品添付の「新機能の説明」内に記述されているEICARテスト・ファイルを用いれば確認できます)。アラート・システム、レポートシステムの動作も確認してください。
- システムをネットワークに再接続します。
- ウイルスDATファイルのアップデート、プログラム本体のアップグレードを継続的に行い、ウイルス対策を強化してください。
Windows 95/98デスクトップでの対処
- 感染システムをシャットダウンしてください。
- 感染マシンをそれが属するネットワークから除外してください。
- そのシステムが主に交信した他のマシンを特定してください。
- システムを、既知のクリーンFDからブートし、NAI Command Line Scanner(ScanPM)および最新のベータDATファイルをダウンロードし、すべてのハードドライブをウイルス検査してください。これはRemote Explorerがメモリ常駐型であることを考慮したものです。
- オン・デマンド・スキャン検査が終了したら、感染ファイルをOS環境から移動、削除してください。さらにクリーンなバックアップからのファイル復旧、あるいはOSの再インストールを行ってください。
- システムを再起動してWindowsを呼び出してください。
- エンジンバージョンが3.2.0以降のVirusScan 95/98をインストールし、さらに最新のDATファイルをダウンロードし、VirusScanディレクトリに解凍してください。
- この際、常駐オン・アクセス検査が確かに作動していることを確認してください(製品添付の「新機能の説明」内に記述されているEICARテスト・ファイルを用いれば確認できます)。アラート・システム、レポートシステムの動作も確認してください。
- システムをネットワークに再接続します。
- ウイルスDATファイルのアップデート、プログラム本体のアップグレードを継続的に行い、ウイルス対策を強化してください。
REScan - RemoteExplorer クリーナー
プログラム・ダウンロード(ここをクリック)
米NAIの緊急対処ページにジャンプします。RESCAN.ZIPをクリックしてダウンロードしてください。
内容
REScanプログラムは、Windows NTサーバおよびワークステーションで動作するよう設計されています。本プログラムの機能は以下のとおりです。英語版プログラムですが、日本語版NTでも動作可能です。
- システムをスキャン検査し、ie403r.sysを削除します。taskmgr.sysファイルが作成されていた場合は、そのサービスを停止します。
- メモリからウイルスを駆除します。
- EXEのコードを解凍し、ウイルスからそれを取り除き、使用可能な形に戻します。
- 暗号化されたデータファイルを復号化し、使用可能な形に戻します。
- 再感染を防ぐようシステムに免疫を施します。
コマンド
REScanでは以下のスイッチが使用できます。
- /sub :サブディレクトリの再帰的検査
- /log :RESCAN.LOGというファイル名のログファイル作成
- /adl :すべてのローカルドライブの検査
- /adn :マップされたネットワーク・ドライブすべての検査
プログラム使用例: c:\rescan /adl /adn /log
REScanをスイッチなしで起動した場合、/adlスイッチが適用されます。
使用例
| C:\rescan \ /sub | システムおよびC:ドライブにスキャン検査を施します。 |
| C:\rescan \FOO | "FOO"ディレクトリのみをスキャン検査します。サブディレクトリはスキャン検査しません。 |
| C:\rescan \FOO /sub | "FOO"ディレクトリ以下を、サブディレクトリも含めてスキャン検査します。 |
| C:\rescan /adl /adn | ローカル・ドライブおよびネットワーク・ドライブをスキャン検査します。 |
| C:\rescan \*.dll /sub | C:ドライブのDLLすべてをスキャン検査します。 |
| C:\rescan | /ADLスイッチを付けた場合と同じ挙動になります。 |
注
- 本スキャナは、ウイルスのプロセスを停止(KILL)し、その後、システムレジストリからウイルスの"Key"を削除(Clean)します。
- ie403r.sysおよびtaskmgr.sys(存在した場合)が削除されます。これらは"元データ(origin data)を有していないため、駆除はできません。
- 本プログラムの起動にはPSAPI.DLLが必要です。ただしこのDLLはNTサーバ、ワークステーションのインストール時に、通常、共にインストールされます。
|
|
