電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム | ScanNetSecurity
2024.05.04(土)

電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム

◆概要:
 Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。

国際 海外情報
facebookLINE
◆概要:
 Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。

 Tendoolfが送信する電子メールの特徴は以下の通り。

件名: Thoughts
本文:I just found this program, and, i dont know why... but it reminded me of you. check it out.
添付ファイル: Cute.exe (228,352 bytes or 608,768 bytes)

 感染添付ファイルが実行されると、Tendoolfはマイクロソフト社のWindowsオペレーティングシステムを実行しているコンピューターを攻撃する。また、当該ワームはMicrosoft Outlookのアドレス帳に記載された全てのアドレスに対し、大量メール送信を実行しようとする。ただし、Network Associates社によれば、ラボ環境ではこの大量メール送信ルーチンの実行は成功しなかったという。

 TendoolfがSubSevenのインストールに成功した場合、リモート攻撃者は乗っ取ったコンピューターをリモートコントロールできる可能性がある。Tendoolfは、SubSevenをkernel32.exeファイルとしてWindowsディレクトリーにコピーし、Windowsの起動時にこのファイルが実行されるようWindowsのリジストリを変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Windows=C:Windows Directorykernel32.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Windows=C:Windows Directorykernel32.exe

 また、ワームは、トロイの木馬をメモリーで実行するため、System.iniファイルを変更する。この場合、shell=Explorer.exeステートメントが以下の値に変更される。

shell=explorer.exe C:Windows Directorykernel32.exe

 また、Win.iniファイルも書き換えられ、load=statementが以下の値に変更される。

load=C:Windows Directorykernel32.exe

◆別名:
 W32.Tendoolf, Tendoolf, Backdoor.SubSeven, SubSeven, Sub7

◆情報ソース:
・ Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/w32.tendoolf.html ), May 01, 2002

◆分析:
 (iDEFENSE米国)SubSevenは、ソフトウェアの盗用、アカウントの乗っ取り、コンピューター活動の監視などの悪意のある活動に用いられる、広く行き渡った一般的なトロイの木馬である。Tendoolfは、このトロイの木馬を他のコンピューターに大量送信するように設計されているが、マスメールルーチンを正しく実行できないようである。よって、Tendoolfが拡散する可能性は低い。

◆検知方法:
 上述の電子メール、Windowsディレクトリーのkernel32.exeファイル、及び当該ワームが作成したWindowsのリジストリキーがないか確認する。また、ワームをコンピューターの起動時にメモリーで実行するためのステートメントの変更がないか、System.ini、Win.iniファイルを確認する。

◆リカバリー方法:
 Tendoolfに関連する全てのファイルとWindowsのリジストリキーを削除する。破壊・破損したファイルをクリーンなバックアップコピーで復元する。また、ファイアウォールで全ての通信を監視し、バックドアツール及び関連する通信が完全に緩和されていることを確認する。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 現在 (5/02/2002@14:50:30GMT)、シマンテック社のアンチウイルスソフトウェアが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるコードを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:50 GMT、05、02、2002】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  6. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  7. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP