Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性

脆弱性と脅威 脅威動向

概要:
 一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を引き出すことを可能とするバックドア・ツールである。問題のメールは、FIX_NIMDA.EXEというファイルを添付し、下記内容で到着する。


<抄訳>
件名: Nimdaワーム感染の可能性
内容:
 こんにちは。本メールは、Trend Micro社の協力でSecurity Focus社の ARIS分析サービス (Attack Registry and Intelligence Service)から出しているものです。
メディア報道でご存知の通り、Nimdaワームは拡大を始めています。貴社の下記システムが、Nimdaワームによって感染したという情報を、弊社は入手致しました。
Nimdaワームはインターネット上で急速に拡大しています。貴社のアドレスであることが判明しているのは、下記の通りです:
(メールのアドレス)
尚、Nimdaワームに関する最新情報は、下記で入手できます:http://aris.securityfocus.com
上記アドレスに関連するシステムを、添付の特別 Nimdaパッチ (FIX_NIMDA.EXE) でチェックして頂くことは非常に重要です。
また、システムの最新アップデートを導入していることは重要です。最新アップデートは、下記 URLで入手可能です:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp1-26.html
Security Focus社 ARISアナリストチームより
aris-report@securityfocus.com
添付: FIX_NIMDA.EXE

(■編集部註:上記メールの原文は英文となっております)


 上記実行ファイルを開くと、Bionetのインストールが可能となる。添付ファイルは、Winzip型の実行ファイルであり、デフォルトの Windows Systems directoryに win32cfg.exe、 keyeye.ini、keyboards.dll、及び keyboards.exeをインストールする。win32cfg.exeは、感染したコンピューターへのリモートアクセスを可能とする、バックドア・クライアントのようである。また、keyboards.exeは、キー・ストロークのログ情報を、デフォルト Windowsフォルダー内の keylog.txtに保存する、ロギング・プログラムのようだ。

情報ソース:
Security Focus (Re: WARNING: Trojan Horse Disguised as Message from SecurityFocus and TrendMicro), Oct. 01, 2001
Symantec Corp. June 21, 2001
http://www.symantec.com/avcenter/venc/data/backdoor.bionet.318.html

分析:
 更に分析結果が明らかになるにつれ、iDEFENSE社は追加レポートを出していく予定である。現在、幾つかのアンチ・ウイルスメーカーのウェブサイトで Bionetの情報が入手できる。ただし、メーカーによる Bionetの説明と、今回の Bionetの動きが異なっている部分が幾つか見られる。取り急ぎ、FIX_NIMDA.EXEというファイルが添付されているメールは、開かず削除することをユーザーに強く勧める。一般的に、送信者が確認できないメールの添付ファイルは、絶対開いてはならない。尚、通常 セキュリティ会社は、実行ファイルを送付することは絶対にせず、ユーザー側に自社のウェブサイトにアクセスしてもらい、必要なファイルをダウンロードする方法をとっている。

検知方法:
 win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe というファイルが存在している場合、感染されている可能性がある。

リカバリー方法:
 このバージョンの Bionetを手動で取り除くためには、win32cfg.exe及びkeyboards.exeのプロセスを消す必要がある。そのためには、win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe、及び keylog.txtのファイルを検知し、削除する必要がある。

暫定処置:
 メールサーバー及ファイアウォールをフィルタリングし、FIX_NIMDA.EXEという添付ファイルを含むメールをブロックする。

ベンダー情報:
 ほとんどの主要アンチウイルスメーカーは、自社のウェブサイトに、Nimdaワームに感染されたコンピューターに対するパッチを掲示している。トレンドマイクロ社のツール(名称: FIX_NIMDA.COM)も、同社のウェブサイトで入手可能。今後は、定期的にアンチウィルス系のウェブサイトをチェックし、この最新型 Bionetを検知する定義ファイルを探す必要がある。


※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:30 GMT、10月 1、2001】


(詳しくはScan本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

    「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  4. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  5. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  6. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  7. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  8. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  9. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  10. サポート終了のモバイルルータ「PWR-Q200」に脆弱性、使用中止を呼びかけ(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×