David L. Smith n New Jersey 州に住む31歳のプログラ マ n 4月1日に NJ 州警察が逮捕 n $100,000 の保釈金を払って保釈中 – 第2級公衆通信妨害 – 第3級コンピュータサービスへの窃盗 – コンピュータシステムへの違法アクセス n 無罪を主張中 n $480,000 の罰金と40年間の禁固刑か
Melissa Virus, 新型の脅威 Article from “COMPUTER" -- IEEE magazine
Melissa –1999 年3月26日2時ころ – 電子メールによる伝染 Subject: Important Message From Text: (content-type: text/plain) Here is that document you asked for … don’t show anyone else ;-) 添付文書 (content-type: application/msword) list.doc ポルノ WEB サイト 名前とパスワードの表
n ユーザが Word97/2000 で文書を開くと, n macro enable であれば macro virus が実 行される. –Macro security の設定を「今後はすべて許 可」にする. –Registry key “Melissa?” にある文字列が セットされているか. “… by Kwyjibo” –Yes ユーザのアドレス帖の最初の50の 宛先に元と同じメールを送る.(伝染) ( Microsoft Outlook がインストールされている こと) –Registry key に “… by Kwyjibo” を書く.
n Normal.dot (template file) に感染. – 以後は Word で作られるすべての文書が感 染を受ける. Patch をしてない Word はテンプレートのマク ロは警告なしで実行(信用) n 現在時刻の分数が日付の日数と一致す れば、 “Twenty-two points, plus … Game:s over,…” の文字列を文書に挿入する.
n Macro disable で文書を見ても、 macro list には現れない. n Visual Basic Applications (VBA) で書か れている. (“document.open” method) –Visual Basic Editor で見ることができる. n 感染者は伝染させていることを知らな い.
どんな影響があるか. n Normal.dot の感染経路で重要文書が汚 染されると、それを開いた人は知らず にアドレス帖の50宛先へ送信させら れてしまう. n DOS (denial of service) メールサーバ の停止
対策 n Sendmail patch n virus scanning tools n macro disable –Tool/Options/GeneralMacro virus protecton を on にする. free.asp CERT (computer emergency response team: CMU) からの情報
その後 n 翌日には変種が出された. –Papa, Mad Cow, Marauder, Syndicate –Papa e.g. Excel に感染し,60宛先にコピーを送る. Melissa の antivirus で広がらなかった. n De Pont, Honeywell, Intel, Lockheed, Lucernt Tech., Microsoft, US Marine
Virus n Melissa n CHI/Chernobyl n Happy99 n Explorezip
対策情報 n の下にある JP-CERT, CERT/CC および 伊藤から net-wg に forward される security 情報を見よ. CERT: computer emergency response team: