大量メール送信型ワーム、SidFX は添付ファイルを自動的に実行

概要：
SidFX は新しい大量メール送信型ワームである。次のような MIME 情報と共に送信される。

Content-ID: <__0@Foxmail.net>
X-Mailer: FoxMail 3.5 Release [cn]

SixFX は、既知の Internet Explorer 脆弱性を利用して添付ファイルを自動的に実行する。(ID# 103197, March 30, 2001)。この脆弱性は、電子メールに不正な MIMEヘッダーがあると、Internet Explorer が自動的にその添付ファイルを実行してしまうもの。感染している添付ファイルの複製がアプリケーション／オクテットストリームの MIME タイプとして含まれており、脆弱性に対するパッチを既に充ててあるコンピューターに対して感染を試みるようプログラムされている。

別名：
W32/SidFX-mm

情報ソース：
MessageLabs Dec. 13, 2001
http://www.messagelabs.com/viruseye/threatlist.asp

分析：
（iDEFENSE 米国）　SidFX は、家庭や小規模のオフィスで一般的に使用されている Internet Explorer の脆弱性を利用したものだが、場合によっては、クライアントステーションが混在している会社環境でも、Internet Explorer 5.01 と 5.5 に存在するこの脆弱性に対するパッチをインストールしていない場合は、このワームの攻撃を受ける危険性がある。つまり、SidFXはこの脆弱性を利用する他の悪意のあるコードと同じように蔓延する可能性を含んでおり、現在世界中に被害が広がっている Nimda や Badtrans.B などと同じように拡散する危険がある。

　しかし、現時点で入手可能な SidFX に関する情報は非常に限られており、 SidFX が拡散する危険性を防止するため、引き続き情報入手する。

検知方法：
　次のような MIME 情報を持つ電子メールに注意すること。

Content-ID: <__0@Foxmail.net>
X-Mailer: FoxMail 3.5 Release [cn]

リカバリー方法：
　感染した電子メールを削除する。

暫定処置：
　不正な MIME ヘッダーを持った電子メールの添付ファイル実行に関する脆弱性をカバーするためには、最新の Internet Explorer にアップデートする必要がある。Internet Explorer 5.01および 5.5 用パッチは、次でダウンロードできる。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ベンダー情報：
　MessageLabs では現在 SidFX に対する防護策を提供している。この他のウイルス対策ソフトでも、経験則を用いてこのワームを検知する可能性はある。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【23:13 GMT、12、14、2001】