Here You Have メールワームの検出

critical Nessus プラグイン ID 49211

言語:

概要

リモート Windows ホストが、Here You Have メールワームに感染しました。

説明

リモート Windows ホストには、システムに「Here You Have」メールワームが存在することを示すファイルがあります。このホストのユーザーは、悪意のある「.scr」(スクリーンセーバー)ファイルを含むメールを受信し、そのファイルを実行した結果として、ホストを感染させる可能性が高いです。

このマルウェアには、いくつかの機能があります。最もダメージがあるのは、メール、リムーバブルドライブ、共有フォルダ、インスタントメッセージングを通じて自己増殖し、システムを感染させることです。ワームはそれ自体のコピーを Microsoft Outlook アドレス帳のアドレスと Yahoo! Messenger に送信し、ユーザーを誘導して、添付された「.scr」ファイルをクリックさせます。これにより、ワームがさらに増殖します。

また、このマルウェアは、数多くのベンダーの各種ウイルス対策パッケージを無効にして機能を停止させ、新しく感染したシステムで確実に存続するようにします。これらのウイルス対策パッケージは、システムが感染している場合でも無効のままなので、ウイルススキャンは実際の感染を検出できない可能性があります。

また、このマルウェアは、Internet Explorer や Firefox に保存されたサイトのパスワード、ワイヤレスネットワークキーなどのパスワードを復元しようとします。この盗まれたデータは、その後、攻撃者の手に渡ります。これは、認証情報リカバリ用に設計された、サードパーティの悪意のないツールを使用して実行されます。こうしたツールがこのマルウェアによって保存、利用される方法は、標準化されていませんが、こうしたツールは、このマルウェアによる感染を示唆するものです。

ソリューション

ホストのウイルス対策ソフトウェアを更新し、ホストをクリーンにし、再びスキャンを実行して、このマルウェアの削除を確実にしてください。問題が解決しない場合は、感染したホストの再インストールをお勧めします。

関連情報

http://www.nessus.org/u?0537683e

http://www.nessus.org/u?7378f54d

プラグインの詳細

深刻度: Critical

ID: 49211

ファイル名: hyh_detect.nasl

バージョン: 1.12

タイプ: local

エージェント: windows

ファミリー: Backdoors

公開日: 2010/9/13

更新日: 2022/2/1

資産インベントリ: true

サポートされているセンサー: Nessus Agent

リスク情報

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

Base Score: 10

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

脆弱性情報

必要な KB アイテム: SMB/Registry/Enumerated