電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム
◆概要:
Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。
国際
海外情報
Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。
Tendoolfが送信する電子メールの特徴は以下の通り。
件名: Thoughts
本文:I just found this program, and, i dont know why... but it reminded me of you. check it out.
添付ファイル: Cute.exe (228,352 bytes or 608,768 bytes)
感染添付ファイルが実行されると、Tendoolfはマイクロソフト社のWindowsオペレーティングシステムを実行しているコンピューターを攻撃する。また、当該ワームはMicrosoft Outlookのアドレス帳に記載された全てのアドレスに対し、大量メール送信を実行しようとする。ただし、Network Associates社によれば、ラボ環境ではこの大量メール送信ルーチンの実行は成功しなかったという。
TendoolfがSubSevenのインストールに成功した場合、リモート攻撃者は乗っ取ったコンピューターをリモートコントロールできる可能性がある。Tendoolfは、SubSevenをkernel32.exeファイルとしてWindowsディレクトリーにコピーし、Windowsの起動時にこのファイルが実行されるようWindowsのリジストリを変更する。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Windows=C:Windows Directorykernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Windows=C:Windows Directorykernel32.exe
また、ワームは、トロイの木馬をメモリーで実行するため、System.iniファイルを変更する。この場合、shell=Explorer.exeステートメントが以下の値に変更される。
shell=explorer.exe C:Windows Directorykernel32.exe
また、Win.iniファイルも書き換えられ、load=statementが以下の値に変更される。
load=C:Windows Directorykernel32.exe
◆別名:
W32.Tendoolf, Tendoolf, Backdoor.SubSeven, SubSeven, Sub7
◆情報ソース:
・ Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/w32.tendoolf.html ), May 01, 2002
◆分析:
(iDEFENSE米国)SubSevenは、ソフトウェアの盗用、アカウントの乗っ取り、コンピューター活動の監視などの悪意のある活動に用いられる、広く行き渡った一般的なトロイの木馬である。Tendoolfは、このトロイの木馬を他のコンピューターに大量送信するように設計されているが、マスメールルーチンを正しく実行できないようである。よって、Tendoolfが拡散する可能性は低い。
◆検知方法:
上述の電子メール、Windowsディレクトリーのkernel32.exeファイル、及び当該ワームが作成したWindowsのリジストリキーがないか確認する。また、ワームをコンピューターの起動時にメモリーで実行するためのステートメントの変更がないか、System.ini、Win.iniファイルを確認する。
◆リカバリー方法:
Tendoolfに関連する全てのファイルとWindowsのリジストリキーを削除する。破壊・破損したファイルをクリーンなバックアップコピーで復元する。また、ファイアウォールで全ての通信を監視し、バックドアツール及び関連する通信が完全に緩和されていることを確認する。
◆暫定処置:
一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。
◆ベンダー情報:
現在 (5/02/2002@14:50:30GMT)、シマンテック社のアンチウイルスソフトウェアが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるコードを検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【14:50 GMT、05、02、2002】
《ScanNetSecurity》