【詳細情報】IPアドレスを使用するFriendsGreetingsコード
◆概要:
論議を呼んでいるFriendsGreetingsコードの配布元であるPermissioned Mediaは、ワームに似た同社のコードをユーザーに対して大量メール送信を続けるための新しいウェブサイトを実装した。この新しいウェブサイトは今までの亜種とは異なり、ウェブサイトのIPア
国際
海外情報
論議を呼んでいるFriendsGreetingsコードの配布元であるPermissioned Mediaは、ワームに似た同社のコードをユーザーに対して大量メール送信を続けるための新しいウェブサイトを実装した。この新しいウェブサイトは今までの亜種とは異なり、ウェブサイトのIPアドレスをポイントしているインターネットリンクを介して拡散する(ID# 112541, Oct. 25, 2002)。
同コードの既に出回っている亜種のケースでは、大量メールを送信する前にユーザーが「End User License Agreement(EULA:一般ユーザーライセンス同意書)」に同意する必要がある。このように、当該コードは自己ルーチンの実行前にユーザーに許可を求めるため、厳密にはワームとは定義できない。
この新しい亜種は、友達から送られてきた電子グリーティングカードをユーザーに選択させるため、 http://65.240.226.248/203746/pickup.html? へ行くように指示する。このコードの送信する電子メールは、次のような内容で表示される。
Subject: Sender recently created you a greeting card - Recipient.
Message: Recipient,
Sender recently mailed you an e-card greeting.
Retrieve your greeting card by going here.
http://www.Friend-Card.net/pickup.aspx?code=name&id=number
Note;
Recipient,
Please see the e-card just e-mailed.
==================================
この他にも、http://www.friend-card.comというサイトも使用されている可能性がある。
◆別名:
FriendsGreetings、Friend Greetingアプリケーション(III)、
FriendGreetings
◆情報ソース:
・AVIEN ( http://www.avien.org/ ), Nov. 20, 2002
・iDEFENSE Intelligence Operations, Nov. 20, 2002
◆キーワード:
Worm: E mail Worm: Other
◆分析:
(iDEFENSE 米国)FriendsGreetingsは、その大量メール送信機能が巧妙に隠されている点で物議をかもしている(ID# 200100, Nov. 14, 2002 )。このワームはこれから年末から 2003年にかけて、さらにアップデートを繰り返す可能性がある。
◆検知方法:
問題のコードが実行されるためには、ユーザーがサイトに行ってsetupを実行し、一般ユーザーライセンス合意書(EULA)に同意する必要がある。このファミリーの亜種の場合と同じく、FriendsGreetingsの作成する電子メールと多くのファイルに注意する。
◆リカバリー方法:
FriendsGreetings関連のファイルを全て削除し、更に、破壊されたファイルや被害にあったファイルを、クリーンなバックアップコピーで修復する。
◆暫定処置:
この種の新しい攻撃用コードに対する注意を、全ユーザーに対して促す。また、次の各ドメインに対してフィルタリングを設定する。
65.240.226.248
http://www.friend-card.com
http://www.cool-downloads.com
http://www.cool-downloads.net
http://www.friend-cards.com
http://www.friend-cards.net
http://www.friend-greeting.com
http://www.friend-greeting.net
http://www.friendgreetings.com
http://www.friendgreetings.net
http://www.laugh-mail.com
◆ベンダー情報:
アンチウイルスアプリケーションによっては、このコードをジョークソフトウェアやワームとして検知できる場合もあるが、まったく検知しないアンチウイルスアプリケーションもある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【14:50 GMT、11、22、2002】
《ScanNetSecurity》