ウイルス情報

ウイルス名

Spoof.A

新種ウイルスへの対応のお知らせ(97/12/19)

■  Spoof95(仮称)について
    日本の某サーバー某ページに、悪質なDOSプログラム形式のトロイの木馬<*>があることが発見されました。。12/18の発見当時、当該ページのカウントCGIによればすでに700人以上の来訪者があることが判明しています。

    またこのトロイの木馬は、当該ページの内容、および使用されているCGIのアドレスから推察すると、海外からのハッキングによる投入である可能性が高く、某サーバー以外のサイトにすでに投入されている可能性、そして今後、投入されうる可能性は否定できません。AVERTでは、緊急ウイルスDATファイル β版を作成しました。
    • そのサーバーには、各メーカーの研究者が共同して、当該ファイルの削除を呼びかけました。12/19、午前10:00 当該サーバーの管理者より、以下の処置を施したとの連絡が弊社に届きました。
      • WWWサーバで公開している全ディレクトリのspoofの名前がついたファイルの存在調査
      • ftpサーバで公開している全ディレクトリのspoofの名前がついたファイルの存在調査
      • 問題となったページの存在するホームディレクトリ内のすべてのファイルの調査
      • 上記調査の結果、当該ページのホームディレクトリ以外の場所でのspoofファイルの存在は認められなかった。
      • 当該ページのホームページ公開ディレクトリおよびspoofファイルの削除を行った。
    • 本情報の掲載においては、事前に当該サーバーの管理者の方のご了承をいただきました。
    • なおサーバ名、ページ名については、トロイの木馬を投入したのは、そのサーバの管理者ではなく悪意の第三者である、という事情を考慮し、公表を控えます。
■  Spoof95の概要
    DOS EXE形式のトロイの木馬である。ツールを用いてバッチファイルをEXE化したものと思われる。

    実行すると、潜伏期間なしに以下の発病を試みる。
    • msdos.sys, io.sys, autoexec.bat, config.sys, command.com 等のシステムファイルの削除
    • レジストリファイルを削除(バックアップを含む)
    • エクスプローラやネットワークドライバ等、重要ファイルを削除
    • c:\windowsに menuin~1\ShiT LamMaH1〜50のディレクトリを作成
    • プロンプトを変更
    • メッセージ表示
    • 画像の表示(左上に画面の約1/8サイズで、髑髏の絵を表示)
    出典:AVERT JAPANの調査

    発見:1997/12.起源:日本.
<*>トロイの木馬とは、一回限りの悪質攻撃を行うものです。ウイルスと違い、感染しません。