Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性
概要:
一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を
脆弱性と脅威
脅威動向
一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を引き出すことを可能とするバックドア・ツールである。問題のメールは、FIX_NIMDA.EXEというファイルを添付し、下記内容で到着する。
<抄訳>
件名: Nimdaワーム感染の可能性
内容:
こんにちは。本メールは、Trend Micro社の協力でSecurity Focus社の ARIS分析サービス (Attack Registry and Intelligence Service)から出しているものです。
メディア報道でご存知の通り、Nimdaワームは拡大を始めています。貴社の下記システムが、Nimdaワームによって感染したという情報を、弊社は入手致しました。
Nimdaワームはインターネット上で急速に拡大しています。貴社のアドレスであることが判明しているのは、下記の通りです:
(メールのアドレス)
尚、Nimdaワームに関する最新情報は、下記で入手できます:http://aris.securityfocus.com
上記アドレスに関連するシステムを、添付の特別 Nimdaパッチ (FIX_NIMDA.EXE) でチェックして頂くことは非常に重要です。
また、システムの最新アップデートを導入していることは重要です。最新アップデートは、下記 URLで入手可能です:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp1-26.html
Security Focus社 ARISアナリストチームより
aris-report@securityfocus.com
添付: FIX_NIMDA.EXE
(■編集部註:上記メールの原文は英文となっております)
上記実行ファイルを開くと、Bionetのインストールが可能となる。添付ファイルは、Winzip型の実行ファイルであり、デフォルトの Windows Systems directoryに win32cfg.exe、 keyeye.ini、keyboards.dll、及び keyboards.exeをインストールする。win32cfg.exeは、感染したコンピューターへのリモートアクセスを可能とする、バックドア・クライアントのようである。また、keyboards.exeは、キー・ストロークのログ情報を、デフォルト Windowsフォルダー内の keylog.txtに保存する、ロギング・プログラムのようだ。
情報ソース:
Security Focus (Re: WARNING: Trojan Horse Disguised as Message from SecurityFocus and TrendMicro), Oct. 01, 2001
Symantec Corp. June 21, 2001
http://www.symantec.com/avcenter/venc/data/backdoor.bionet.318.html
分析:
更に分析結果が明らかになるにつれ、iDEFENSE社は追加レポートを出していく予定である。現在、幾つかのアンチ・ウイルスメーカーのウェブサイトで Bionetの情報が入手できる。ただし、メーカーによる Bionetの説明と、今回の Bionetの動きが異なっている部分が幾つか見られる。取り急ぎ、FIX_NIMDA.EXEというファイルが添付されているメールは、開かず削除することをユーザーに強く勧める。一般的に、送信者が確認できないメールの添付ファイルは、絶対開いてはならない。尚、通常 セキュリティ会社は、実行ファイルを送付することは絶対にせず、ユーザー側に自社のウェブサイトにアクセスしてもらい、必要なファイルをダウンロードする方法をとっている。
検知方法:
win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe というファイルが存在している場合、感染されている可能性がある。
リカバリー方法:
このバージョンの Bionetを手動で取り除くためには、win32cfg.exe及びkeyboards.exeのプロセスを消す必要がある。そのためには、win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe、及び keylog.txtのファイルを検知し、削除する必要がある。
暫定処置:
メールサーバー及ファイアウォールをフィルタリングし、FIX_NIMDA.EXEという添付ファイルを含むメールをブロックする。
ベンダー情報:
ほとんどの主要アンチウイルスメーカーは、自社のウェブサイトに、Nimdaワームに感染されたコンピューターに対するパッチを掲示している。トレンドマイクロ社のツール(名称: FIX_NIMDA.COM)も、同社のウェブサイトで入手可能。今後は、定期的にアンチウィルス系のウェブサイトをチェックし、この最新型 Bionetを検知する定義ファイルを探す必要がある。
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:30 GMT、10月 1、2001】
(詳しくはScan本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》