Here You Have メールワームの検出
critical Nessus プラグイン ID 49211
Language:
概要
リモート Windows ホストが、Here You Have メールワームに感染しました。説明
リモート Windows ホストには、システムに「Here You Have」メールワームが存在することを示すファイルがあります。このホストのユーザーは、悪意のある「.scr」(スクリーンセーバー)ファイルを含むメールを受信し、そのファイルを実行した結果として、ホストを感染させる可能性が高いです。このマルウェアには、いくつかの機能があります。最もダメージがあるのは、メール、リムーバブルドライブ、共有フォルダ、インスタントメッセージングを通じて自己増殖し、システムを感染させることです。ワームはそれ自体のコピーを Microsoft Outlook アドレス帳のアドレスと Yahoo! Messenger に送信し、ユーザーを誘導して、添付された「.scr」ファイルをクリックさせます。これにより、ワームがさらに増殖します。
また、このマルウェアは、数多くのベンダーの各種ウイルス対策パッケージを無効にして機能を停止させ、新しく感染したシステムで確実に存続するようにします。これらのウイルス対策パッケージは、システムが感染している場合でも無効のままなので、ウイルススキャンは実際の感染を検出できない可能性があります。
また、このマルウェアは、Internet Explorer や Firefox に保存されたサイトのパスワード、ワイヤレスネットワークキーなどのパスワードを復元しようとします。この盗まれたデータは、その後、攻撃者の手に渡ります。これは、認証情報リカバリ用に設計された、サードパーティの悪意のないツールを使用して実行されます。こうしたツールがこのマルウェアによって保存、利用される方法は、標準化されていませんが、こうしたツールは、このマルウェアによる感染を示唆するものです。
ソリューション
ホストのウイルス対策ソフトウェアを更新し、ホストをクリーンにし、再びスキャンを実行して、このマルウェアの削除を確実にしてください。問題が解決しない場合は、感染したホストの再インストールをお勧めします。参考資料
プラグインの詳細
深刻度: Critical
ID: 49211
ファイル名: hyh_detect.nasl
バージョン: 1.12
タイプ: local
エージェント: windows
ファミリー: Backdoors
公開日: 2010/9/13
更新日: 2022/2/1
資産インベントリ: true
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
CVSS v2
リスクファクター: Critical
基本値: 10
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
基本値: 10
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
脆弱性情報
必要な KB アイテム: SMB/Registry/Enumerated