Fundllウイルスは、「Funny」という題名の電子メールで配信される | ScanNetSecurity
2024.05.09(木)

Fundllウイルスは、「Funny」という題名の電子メールで配信される

概要:
 Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。

国際 海外情報
facebookLINE
概要:
 Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。

Subject: Funny...Funny...Funny...stories.
Message: Here are some funny stories and I hope you'll enjoy them. Have a good time! Bye
Attachment:funnystories.txt (この間幾つかのスペースが入る) .vbs (1,495 bytes)

 添付ファイルが実行されると、Fundllは自身のコピーを下記場所に保存しようとする:

C:WindowsSystemFunnystories.txt (この間、幾つかのスペースが挿入される) .vbs
C:WindowsSystemFun.dll.vbs

 C:WindowsSystemは、複製ルーチンにハードコーディングされている。このパスがローカルコンピューターに存在していない場合(例:一部のWindows NTアプリケーション)、ファイルはコピーされない。

 またFundllは、下記レジストリキーの数値を1に設定して、待ち時間なしに電子メールが直ちに送信されるようにする:

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately

 最後に、Windows起動時に毎回実行されるよう、Fundllは下記レジストリキーを追加する。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs

別名:
VBS.Fundll@mm

情報ソース:
Symantec Corp. Dec. 11, 2001
http://www.symantec.com/avcenter/venc/data/vbs.fundll@mm.html

分析:
(iDEFENSE米国)  Fundllは、感染ファイルを広げるためのパスをローカルドライブ上にハードコーディングするため、他の大量メール型のウイルスほど急速に拡散しないだろう。しかし、Fundllが使用するパスは一般的なものであるため、インターネット上で拡散することが可能だ。

検知方法:
 下記ファイルが存在している場合、感染の可能性がある。

C:WindowsSystemFunnystories.txt (スペース).vbs
C:WindowsSystemFun.dll.vbs

リカバリー方法:
 Fundllを駆除するためウイルス定義ファイルの最新版を使用する。また、手動で駆除する場合、上記ファイルを削除する。また、下記レジストリを削除する:

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs

暫定処置:
 .vbsタイプの添付ファイルをブロックすること。また、Outlook 2000にアップグレードすることでこの種のウイルスの感染を予防できる。Outlook 2000以前のバージョンの使用者は、脆弱性をパッチし、一般的な悪意のあるコードの添付ファイルをブロックするため、マイクロソフト社のセキュリテパッチをインストールすることを推奨する。VBS攻撃から保護するためには、VBSアプリケーションをローカル マシンで使用不可とする。

ベンダー情報:
 Symantec社のNorton AntiVirusの使用者は、現在防護されている。その他のウイルス対策ソフトウェアについても、Fundllを施行錯誤的に検知するか、また定義ファイルのアップデートを提供することと思われる。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【20:36 GMT、12、11、2001】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  8. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  9. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

    経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

  10. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP