Fundllウイルスは、「Funny」という題名の電子メールで配信される
概要:
Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。
国際
海外情報
Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。
Subject: Funny...Funny...Funny...stories.
Message: Here are some funny stories and I hope you'll enjoy them. Have a good time! Bye
Attachment:funnystories.txt (この間幾つかのスペースが入る) .vbs (1,495 bytes)
添付ファイルが実行されると、Fundllは自身のコピーを下記場所に保存しようとする:
C:WindowsSystemFunnystories.txt (この間、幾つかのスペースが挿入される) .vbs
C:WindowsSystemFun.dll.vbs
C:WindowsSystemは、複製ルーチンにハードコーディングされている。このパスがローカルコンピューターに存在していない場合(例:一部のWindows NTアプリケーション)、ファイルはコピーされない。
またFundllは、下記レジストリキーの数値を1に設定して、待ち時間なしに電子メールが直ちに送信されるようにする:
HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately
最後に、Windows起動時に毎回実行されるよう、Fundllは下記レジストリキーを追加する。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs
別名:
VBS.Fundll@mm
情報ソース:
Symantec Corp. Dec. 11, 2001
http://www.symantec.com/avcenter/venc/data/vbs.fundll@mm.html
分析:
(iDEFENSE米国) Fundllは、感染ファイルを広げるためのパスをローカルドライブ上にハードコーディングするため、他の大量メール型のウイルスほど急速に拡散しないだろう。しかし、Fundllが使用するパスは一般的なものであるため、インターネット上で拡散することが可能だ。
検知方法:
下記ファイルが存在している場合、感染の可能性がある。
C:WindowsSystemFunnystories.txt (スペース).vbs
C:WindowsSystemFun.dll.vbs
リカバリー方法:
Fundllを駆除するためウイルス定義ファイルの最新版を使用する。また、手動で駆除する場合、上記ファイルを削除する。また、下記レジストリを削除する:
HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs
暫定処置:
.vbsタイプの添付ファイルをブロックすること。また、Outlook 2000にアップグレードすることでこの種のウイルスの感染を予防できる。Outlook 2000以前のバージョンの使用者は、脆弱性をパッチし、一般的な悪意のあるコードの添付ファイルをブロックするため、マイクロソフト社のセキュリテパッチをインストールすることを推奨する。VBS攻撃から保護するためには、VBSアプリケーションをローカル マシンで使用不可とする。
ベンダー情報:
Symantec社のNorton AntiVirusの使用者は、現在防護されている。その他のウイルス対策ソフトウェアについても、Fundllを施行錯誤的に検知するか、また定義ファイルのアップデートを提供することと思われる。
(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【20:36 GMT、12、11、2001】
《ScanNetSecurity》