大量メール送信型ワーム、SidFX は添付ファイルを自動的に実行
概要:
SidFX は新しい大量メール送信型ワームである。次のような MIME 情報と共に送信される。
国際
海外情報
SidFX は新しい大量メール送信型ワームである。次のような MIME 情報と共に送信される。
Content-ID: <__0@Foxmail.net>
X-Mailer: FoxMail 3.5 Release [cn]
SixFX は、既知の Internet Explorer 脆弱性を利用して添付ファイルを自動的に実行する。(ID# 103197, March 30, 2001)。この脆弱性は、電子メールに不正な MIMEヘッダーがあると、Internet Explorer が自動的にその添付ファイルを実行してしまうもの。感染している添付ファイルの複製がアプリケーション/オクテットストリームの MIME タイプとして含まれており、脆弱性に対するパッチを既に充ててあるコンピューターに対して感染を試みるようプログラムされている。
別名:
W32/SidFX-mm
情報ソース:
MessageLabs Dec. 13, 2001
http://www.messagelabs.com/viruseye/threatlist.asp
分析:
(iDEFENSE 米国) SidFX は、家庭や小規模のオフィスで一般的に使用されている Internet Explorer の脆弱性を利用したものだが、 場合によっては、クライアントステーションが混在している会社環境でも、Internet Explorer 5.01 と 5.5 に存在するこの脆弱性に対するパッチをインストールしていない場合は、このワームの攻撃を受ける危険性がある。つまり、SidFXはこの脆弱性を利用する他の悪意のあるコードと同じように蔓延する可能性を含んでおり、 現在世界中に被害が広がっている Nimda や Badtrans.B などと同じように拡散する危険がある。
しかし、現時点で入手可能な SidFX に関する情報は非常に限られており、 SidFX が拡散する危険性を防止するため、引き続き情報入手する。
検知方法:
次のような MIME 情報を持つ電子メールに注意すること。
Content-ID: <__0@Foxmail.net>
X-Mailer: FoxMail 3.5 Release [cn]
リカバリー方法:
感染した電子メールを削除する。
暫定処置:
不正な MIME ヘッダーを持った電子メールの添付ファイル実行に関する脆弱性をカバーするためには、最新の Internet Explorer にアップデートする必要がある。Internet Explorer 5.01および 5.5 用パッチは、次でダウンロードできる。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ベンダー情報:
MessageLabs では現在 SidFX に対する防護策を提供している。この他のウイルス対策ソフトでも、経験則を用いてこのワームを検知する可能性はある。
(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【23:13 GMT、12、14、2001】
《ScanNetSecurity》