【詳細情報】インドから送り付けられるCyberMonkeyトロイの木馬

◆概要：
　CyberMonkeyは新しく発見されたトロイの木馬で、インドにあるISPから定期的に発信されている模様。当該攻撃用プログラムに関しての詳細情報は入手できていない。

国際海外情報

2002.11.22 Fri 12:00

◆概要：
　CyberMonkeyは新しく発見されたトロイの木馬で、インドにあるISPから定期的に発信されている模様。当該攻撃用プログラムに関しての詳細情報は入手できていない。

　CyberMonkeyは、電子メールが電子メールアプリケーション内に渡されると自動的にトロイの木馬を実行してしまう脆弱性を悪用するため、電子メールと組み合わされたトロイの木馬の可能性があり、setup.exe（サイズ：121,602バイト）を含むファイル名のついたホストから送信されている。

　電子メールはその殆どが短いもので、巧く実行されるようデザインされている。メッセージには「A special new game（新種のゲームスペシャル）」といった件名が付けられており、中にはCyberMonkey9000というユーザーから送信されているメールもある。これらの電子メールは元々インドから発信されている可能性が高い。

◆別名：
　CyberMonkey9000、CyberMonkey

◆情報ソース：
・New Order (http://neworder.box.sk/newsread.php?newsid=6389) , Nov. 06, 2002
・iDEFENSE Intelligence Operations, Oct. 05, 2002

◆キーワード：
　Trojan: Backdoor

◆分析：
　（iDEFENSE 米国）この攻撃が、スパム活動を支援しているウェブドメイン、「btamail.net.cn」から送信されている可能性があると考えている者が少なくとも一人は存在している。報告によると、このメールの発信は過去一ヶ月にわたり、インドから定期的に行われているという。特にここ最近になってその活動が若干ではあるが活発化しているらしい。

◆検知方法：
　前述したように、攻撃用プログラムを含んでいるMIMEを使用出来ない電子メールに注意する必要がある。

◆リカバリー方法：
　CyberMonkeyに関連する全てのファイルとWindowsレジストリキーを削除する。さらに、破壊・破損したファイルを、クリーンなバックアップコピーで修復する。ファイアウォールを用いて全ての通信を監視及び管理する。リモート攻撃者によってインストールされた悪意のあるプログラムを完全に削除する。将来の攻撃に備えてパスワードを変更し、コンピューターのセキュリティを強化する。

◆暫定処置：
　全ての新規ファイルを慎重に管理し、経験則を用いた最新アンチウイルスソフトウェアでスキャンしてから使用する。また、ファイアウォールを使って全ての通信を監視及び管理する。

◆ベンダー情報：
　他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【04:26 GMT、11、08、2002】