Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性 | ScanNetSecurity
2025.12.11(木)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性

概要:
 一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を

脆弱性と脅威
34 views
概要:
 一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を引き出すことを可能とするバックドア・ツールである。問題のメールは、FIX_NIMDA.EXEというファイルを添付し、下記内容で到着する。


<抄訳>
件名: Nimdaワーム感染の可能性
内容:
 こんにちは。本メールは、Trend Micro社の協力でSecurity Focus社の ARIS分析サービス (Attack Registry and Intelligence Service)から出しているものです。
メディア報道でご存知の通り、Nimdaワームは拡大を始めています。貴社の下記システムが、Nimdaワームによって感染したという情報を、弊社は入手致しました。
Nimdaワームはインターネット上で急速に拡大しています。貴社のアドレスであることが判明しているのは、下記の通りです:
(メールのアドレス)
尚、Nimdaワームに関する最新情報は、下記で入手できます:http://aris.securityfocus.com
上記アドレスに関連するシステムを、添付の特別 Nimdaパッチ (FIX_NIMDA.EXE) でチェックして頂くことは非常に重要です。
また、システムの最新アップデートを導入していることは重要です。最新アップデートは、下記 URLで入手可能です:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp1-26.html
Security Focus社 ARISアナリストチームより
aris-report@securityfocus.com
添付: FIX_NIMDA.EXE

(■編集部註:上記メールの原文は英文となっております)


 上記実行ファイルを開くと、Bionetのインストールが可能となる。添付ファイルは、Winzip型の実行ファイルであり、デフォルトの Windows Systems directoryに win32cfg.exe、 keyeye.ini、keyboards.dll、及び keyboards.exeをインストールする。win32cfg.exeは、感染したコンピューターへのリモートアクセスを可能とする、バックドア・クライアントのようである。また、keyboards.exeは、キー・ストロークのログ情報を、デフォルト Windowsフォルダー内の keylog.txtに保存する、ロギング・プログラムのようだ。

情報ソース:
Security Focus (Re: WARNING: Trojan Horse Disguised as Message from SecurityFocus and TrendMicro), Oct. 01, 2001
Symantec Corp. June 21, 2001
http://www.symantec.com/avcenter/venc/data/backdoor.bionet.318.html

分析:
 更に分析結果が明らかになるにつれ、iDEFENSE社は追加レポートを出していく予定である。現在、幾つかのアンチ・ウイルスメーカーのウェブサイトで Bionetの情報が入手できる。ただし、メーカーによる Bionetの説明と、今回の Bionetの動きが異なっている部分が幾つか見られる。取り急ぎ、FIX_NIMDA.EXEというファイルが添付されているメールは、開かず削除することをユーザーに強く勧める。一般的に、送信者が確認できないメールの添付ファイルは、絶対開いてはならない。尚、通常 セキュリティ会社は、実行ファイルを送付することは絶対にせず、ユーザー側に自社のウェブサイトにアクセスしてもらい、必要なファイルをダウンロードする方法をとっている。

検知方法:
 win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe というファイルが存在している場合、感染されている可能性がある。

リカバリー方法:
 このバージョンの Bionetを手動で取り除くためには、win32cfg.exe及びkeyboards.exeのプロセスを消す必要がある。そのためには、win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe、及び keylog.txtのファイルを検知し、削除する必要がある。

暫定処置:
 メールサーバー及ファイアウォールをフィルタリングし、FIX_NIMDA.EXEという添付ファイルを含むメールをブロックする。

ベンダー情報:
 ほとんどの主要アンチウイルスメーカーは、自社のウェブサイトに、Nimdaワームに感染されたコンピューターに対するパッチを掲示している。トレンドマイクロ社のツール(名称: FIX_NIMDA.COM)も、同社のウェブサイトで入手可能。今後は、定期的にアンチウィルス系のウェブサイトをチェックし、この最新型 Bionetを検知する定義ファイルを探す必要がある。


※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:30 GMT、10月 1、2001】


(詳しくはScan本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×