McAfee for Small Businesses

ウイルス名

Spoof.A

日本の某サーバー某ページに、悪質なDOSプログラム形式のトロイの木馬<*>があることが発見されました。。12/18の発見当時、当該ページのカウントCGIによればすでに700人以上の来訪者があることが判明しています。
またこのトロイの木馬は、当該ページの内容、および使用されているCGIのアドレスから推察すると、海外からのハッキングによる投入である可能性が高く、某サーバー以外のサイトにすでに投入されている可能性、そして今後、投入されうる可能性は否定できません。AVERTでは、緊急ウイルスDATファイル β版を作成しました。

• そのサーバーには、各メーカーの研究者が共同して、当該ファイルの削除を呼びかけました。12/19、午前10:00 当該サーバーの管理者より、以下の処置を施したとの連絡が弊社に届きました。
  
  • WWWサーバで公開している全ディレクトリのspoofの名前がついたファイルの存在調査
  • ftpサーバで公開している全ディレクトリのspoofの名前がついたファイルの存在調査
  • 問題となったページの存在するホームディレクトリ内のすべてのファイルの調査
  • 上記調査の結果、当該ページのホームディレクトリ以外の場所でのspoofファイルの存在は認められなかった。
  • 当該ページのホームページ公開ディレクトリおよびspoofファイルの削除を行った。
• 本情報の掲載においては、事前に当該サーバーの管理者の方のご了承をいただきました。
  
• なおサーバ名、ページ名については、トロイの木馬を投入したのは、そのサーバの管理者ではなく悪意の第三者である、という事情を考慮し、公表を控えます。

DOS EXE形式のトロイの木馬である。ツールを用いてバッチファイルをEXE化したものと思われる。
実行すると、潜伏期間なしに以下の発病を試みる。

• msdos.sys, io.sys, autoexec.bat, config.sys, command.com 等のシステムファイルの削除
• レジストリファイルを削除（バックアップを含む）
• エクスプローラやネットワークドライバ等、重要ファイルを削除
• c:\windowsに menuin~1\ShiT LamMaH1〜50のディレクトリを作成
• プロンプトを変更
• メッセージ表示
• 画像の表示（左上に画面の約１／８サイズで、髑髏の絵を表示）
出典：AVERT JAPANの調査
発見：1997/12．起源：日本．