Posted on 09/10/10 by Sean-Paul Correll
セキュリティ業界で総称“Here you have ワーム”と呼ばれているワームは、過去24時間以上、企業ネットワークなどに侵入しようとしていました。このワームは、PDFファイルに偽装した実行ファイルと共に、“Here you have” または“Just For you“という件名を使ってemail経由で届きます。
Panda Securityは、W32/Visal.A.wormとして分類しており、先月に初めてiraq_resistance@yahoo.com からのスパム送信が見られました。
このワームは次のファイルを作ります。(フルレポートはPandaのサンドボックスを見て下さい -> http://x.maldb.com/?p=44309#more-44309)
以下に接続:
さらなる調査で、“iraq_resistance”は、少なくとも8月中旬に発見されたワームの最初のバージョンに関与していると我々が信じて いるリビアのハッカー/テロリストとして知られたハンドル名であるとわかりました。
“iraq_resistance”に、テロ組織(エレクトロニック・ジハード《電子聖戦》)“Brigades of Tariq ibn Ziyad”と同時にこのマルウェアの件がリンクされていました。
これはiraq_resistanceの書き込みのコピーで、グループの一番の優先事項をはっきりと述べています。
このワームは次のファイルを作ります。(フルレポートはPandaのサンドボックスを見て下さい -> http://x.maldb.com/?p=44309#more-44309)
- /WINDOWS/autorun.inf
- /WINDOWS/autorun2.inf
- /WINDOWS/csrss.exe
- /WINDOWS/ff.exe
- /WINDOWS/gc.exe
- /WINDOWS/hst.iq
- /WINDOWS/ie.exe
- /WINDOWS/im.exe
- /WINDOWS/op.exe
- /WINDOWS/pspv.exe
- /WINDOWS/rd.exe
- /WINDOWS/re.exe
- /WINDOWS/re.iq
- /WINDOWS/system/Administrator CV 2010.exe
- /WINDOWS/system/updates.exe
- /WINDOWS/system32/SendEmail.dll
- /WINDOWS/system32/wbem/Logs/wbemcore.lo_
- /WINDOWS/system32/wbem/Logs/wbemprox.log
- /WINDOWS/tryme1.exe
- /WINDOWS/vb.vbs
- /autorun.inf
- /open.exe
以下に接続:
- members.multimania.co.uk/yahoophoto/tryme.iq
- members.multimania.co.uk/yahoophoto/ff.iq
- members.multimania.co.uk/yahoophoto/gc.iq
- members.multimania.co.uk/yahoophoto/ie.iq
- members.multimania.co.uk/yahoophoto/im.iq
- members.multimania.co.uk/yahoophoto/m.iq
- members.multimania.co.uk/yahoophoto/op.iq
- members.multimania.co.uk/yahoophoto/pspv.iq
- members.multimania.co.uk/yahoophoto/rd.iq
- members.multimania.co.uk/yahoophoto/w.iq
- members.multimania.co.uk/yahoophoto/SendEmail.iq
- members.multimania.co.uk/yahoophoto/hst.iq
- members.multimania.co.uk/yahoophoto/re.iq
- members.multimania.co.uk/yahoophoto/tryme.iq
“iraq_resistance”に、テロ組織(エレクトロニック・ジハード《電子聖戦》)“Brigades of Tariq ibn Ziyad”と同時にこのマルウェアの件がリンクされていました。
これはiraq_resistanceの書き込みのコピーで、グループの一番の優先事項をはっきりと述べています。
“ 
Required young people to participate in the campaign of the electronic jihad اجهزة امريكية تابعة للجيش الامريكي Group was established as the Brigades of Tariq ibn Ziyad and goal of this group to penetrate U.S. agencies belonging to the U.S. Army ”
Required young people to participate in the campaign of the electronic jihad اجهزة امريكية تابعة للجيش الامريكي Group was established as the Brigades of Tariq ibn Ziyad and goal of this group to penetrate U.S. agencies belonging to the U.S. Army ”“エレクトロニック・ジハードの活動への若者の参加が必要である。グループはBrigades of Tariq ibn Ziyadとして作られ、米陸軍所属のエージェンシー(諜報機関)に侵入することがグループの目的である)” - Google Translate リンク
テロリストのリンクのほかに、xp10.comのようなその他のアンダーグラウンドのハッキングフォーラムでいくつかのポストが書き込まれています。
テロリストのリンクのほかに、xp10.comのようなその他のアンダーグラウンドのハッキングフォーラムでいくつかのポストが書き込まれています。
グループも個人も関与を主張していないので、このワームのセカンドバージョンが、“iraq_resistance” または “Brigades of Tariq ibn Ziyad”に関連するかどうかはまだ不明ですが、このグループの性質上十分あり得ることです。
投稿
0 件のコメント:
コメントを投稿