Fundllウイルスは、「Funny」という題名の電子メールで配信される | ScanNetSecurity
2025.12.09(火)

Fundllウイルスは、「Funny」という題名の電子メールで配信される

概要:
 Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。

国際 海外情報
21 views
facebookLINE
概要:
 Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。

Subject: Funny...Funny...Funny...stories.
Message: Here are some funny stories and I hope you'll enjoy them. Have a good time! Bye
Attachment:funnystories.txt (この間幾つかのスペースが入る) .vbs (1,495 bytes)

 添付ファイルが実行されると、Fundllは自身のコピーを下記場所に保存しようとする:

C:WindowsSystemFunnystories.txt (この間、幾つかのスペースが挿入される) .vbs
C:WindowsSystemFun.dll.vbs

 C:WindowsSystemは、複製ルーチンにハードコーディングされている。このパスがローカルコンピューターに存在していない場合(例:一部のWindows NTアプリケーション)、ファイルはコピーされない。

 またFundllは、下記レジストリキーの数値を1に設定して、待ち時間なしに電子メールが直ちに送信されるようにする:

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately

 最後に、Windows起動時に毎回実行されるよう、Fundllは下記レジストリキーを追加する。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs

別名:
VBS.Fundll@mm

情報ソース:
Symantec Corp. Dec. 11, 2001
http://www.symantec.com/avcenter/venc/data/vbs.fundll@mm.html

分析:
(iDEFENSE米国)  Fundllは、感染ファイルを広げるためのパスをローカルドライブ上にハードコーディングするため、他の大量メール型のウイルスほど急速に拡散しないだろう。しかし、Fundllが使用するパスは一般的なものであるため、インターネット上で拡散することが可能だ。

検知方法:
 下記ファイルが存在している場合、感染の可能性がある。

C:WindowsSystemFunnystories.txt (スペース).vbs
C:WindowsSystemFun.dll.vbs

リカバリー方法:
 Fundllを駆除するためウイルス定義ファイルの最新版を使用する。また、手動で駆除する場合、上記ファイルを削除する。また、下記レジストリを削除する:

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs

暫定処置:
 .vbsタイプの添付ファイルをブロックすること。また、Outlook 2000にアップグレードすることでこの種のウイルスの感染を予防できる。Outlook 2000以前のバージョンの使用者は、脆弱性をパッチし、一般的な悪意のあるコードの添付ファイルをブロックするため、マイクロソフト社のセキュリテパッチをインストールすることを推奨する。VBS攻撃から保護するためには、VBSアプリケーションをローカル マシンで使用不可とする。

ベンダー情報:
 Symantec社のNorton AntiVirusの使用者は、現在防護されている。その他のウイルス対策ソフトウェアについても、Fundllを施行錯誤的に検知するか、また定義ファイルのアップデートを提供することと思われる。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【20:36 GMT、12、11、2001】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  2. バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

    バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

  3. 伊予銀行の再委託先で使用していたローレルバンクマシン提供のクラウドサービスに身代金要求を伴う不正アクセス

    伊予銀行の再委託先で使用していたローレルバンクマシン提供のクラウドサービスに身代金要求を伴う不正アクセス

  4. 脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

    脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

  5. 社員の個人保有 PC がウイルス感染、業務で使用する認証情報が流出

    社員の個人保有 PC がウイルス感染、業務で使用する認証情報が流出

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP