メールを開封するだけで感染 Finaldoワームが急速に急激に増殖
概要:
Finaldoワームは、空欄になっている件名および主文の添付ファイルとして受信され、数種類のファイル形式に感染する。添付ファイルの容量は約46,000バイトで、.exeのような拡張子はついておらず、代わりに中国の国旗のアイコンがついている。
国際
海外情報
Finaldoワームは、空欄になっている件名および主文の添付ファイルとして受信され、数種類のファイル形式に感染する。添付ファイルの容量は約46,000バイトで、.exeのような拡張子はついておらず、代わりに中国の国旗のアイコンがついている。
ワームは、マイクロソフトのアウトルック及びアウトルックエクスプレスの脆弱性を利用し、メールを開封するだけでワームが発動し感染する仕掛け。また、アイコンをクリックしても感染する。添付が開かれると、tempフォルダーにFINALDOOM.dllとして隠しファイルを作成する。次にメールで拡散させる為のプログラム指示が記載されているFINALDOOM.emlを作る。
Finaldoは、感染したコンピュータのMAPI互換のインボックス内にある送信リストを検索しレスポンスを出す事により拡散していく。送信していく先のアドレスはSMTPサーバーから拾う。次に.exe,.ocx及び.htmlファイルに感染していく。ワームのテキストには次のような記載がある。
Coded_by_CJH
Finaldoom is coming
Don't worry... It's no harm to your system !
It's only a demo version Made in china
(上記訳文:Finaldoom(世界消滅の日)が来る! しかし心配無用、システムには影響ないです。これは中国産のデモ・バージョンです。)
別名:
I-Worm.Finaldo, Final Doom, FinalDoom, W32/Finaldo
情報ソース:
・F-Secure Corp. Nov. 07, 2001
http://www.data-fellows.com/v-descs/finaldo.shtml
・PandaSoft Nov. 07, 2001
http://www.pandasoftware.com/
分析: (iDEFENSE米国)
Finaldoワームは非破壊であるが、増殖と共にメールサーバーの能力低下や不安定にさせる事は有得る。ワームのコード自体にバグが見つかっており、増殖ルーチンが作動せず拡散しない事もある。メールを開くだけで感染するので、件名のないメールを受け取ったら開かずに削除する事。もし、誤ってメールを開封し感染した恐れがある場合には直ぐにヘルプデスク若しくはシステム管理者に報告の事。
検知方法:
FINALDOOM.dllかFINALDOOM.emlの存在は感染の兆候。
リカバリー方法:
最新のアンチウイルスソフトはFinaldoワームの定義が追加されており、検知・除去できる。手動で除去する場合は感染したファイルを削除し、クリーンバックアップから削除したファイルを復旧させる。
ベンダー情報:
F-Secure社およびPandasoft社からFinaldoの定義ファイルが入手可能。 また、アップデートされたアウトルック、アウトルック・エクスプレスはユーザの許可なしにメールに添付されてくるHTMLコードを実行させない仕組みになっている。このアップデートに関する情報はマイクロソフト社の次にサイトで入手可能。
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:43 GMT、11、7、2001】
《ScanNetSecurity》
