Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性

概要：
　一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を

脆弱性と脅威脅威動向

2001年10月3日（水） 12時00分

概要：
　一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を引き出すことを可能とするバックドア・ツールである。問題のメールは、FIX_NIMDA.EXEというファイルを添付し、下記内容で到着する。

＜抄訳＞
件名： Nimdaワーム感染の可能性
内容：
　こんにちは。本メールは、Trend Micro社の協力でSecurity Focus社の ARIS分析サービス (Attack Registry and Intelligence Service)から出しているものです。
メディア報道でご存知の通り、Nimdaワームは拡大を始めています。貴社の下記システムが、Nimdaワームによって感染したという情報を、弊社は入手致しました。
Nimdaワームはインターネット上で急速に拡大しています。貴社のアドレスであることが判明しているのは、下記の通りです：
（メールのアドレス）
尚、Nimdaワームに関する最新情報は、下記で入手できます：http://aris.securityfocus.com
上記アドレスに関連するシステムを、添付の特別 Nimdaパッチ (FIX_NIMDA.EXE) でチェックして頂くことは非常に重要です。
また、システムの最新アップデートを導入していることは重要です。最新アップデートは、下記 URLで入手可能です：
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp1-26.html
Security Focus社 ARISアナリストチームより
aris-report@securityfocus.com
添付： FIX_NIMDA.EXE

（■編集部註：上記メールの原文は英文となっております）

　上記実行ファイルを開くと、Bionetのインストールが可能となる。添付ファイルは、Winzip型の実行ファイルであり、デフォルトの Windows Systems directoryに win32cfg.exe、 keyeye.ini、keyboards.dll、及び keyboards.exeをインストールする。win32cfg.exeは、感染したコンピューターへのリモートアクセスを可能とする、バックドア・クライアントのようである。また、keyboards.exeは、キー・ストロークのログ情報を、デフォルト Windowsフォルダー内の keylog.txtに保存する、ロギング・プログラムのようだ。

情報ソース：
Security Focus (Re: WARNING: Trojan Horse Disguised as Message from SecurityFocus and TrendMicro), Oct. 01, 2001
Symantec Corp. June 21, 2001
http://www.symantec.com/avcenter/venc/data/backdoor.bionet.318.html

分析：
　更に分析結果が明らかになるにつれ、iDEFENSE社は追加レポートを出していく予定である。現在、幾つかのアンチ・ウイルスメーカーのウェブサイトで Bionetの情報が入手できる。ただし、メーカーによる Bionetの説明と、今回の Bionetの動きが異なっている部分が幾つか見られる。取り急ぎ、FIX_NIMDA.EXEというファイルが添付されているメールは、開かず削除することをユーザーに強く勧める。一般的に、送信者が確認できないメールの添付ファイルは、絶対開いてはならない。尚、通常セキュリティ会社は、実行ファイルを送付することは絶対にせず、ユーザー側に自社のウェブサイトにアクセスしてもらい、必要なファイルをダウンロードする方法をとっている。

検知方法：
　win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe というファイルが存在している場合、感染されている可能性がある。

リカバリー方法：
　このバージョンの Bionetを手動で取り除くためには、win32cfg.exe及びkeyboards.exeのプロセスを消す必要がある。そのためには、win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe、及び keylog.txtのファイルを検知し、削除する必要がある。

暫定処置：
　メールサーバー及ファイアウォールをフィルタリングし、FIX_NIMDA.EXEという添付ファイルを含むメールをブロックする。

ベンダー情報：
　ほとんどの主要アンチウイルスメーカーは、自社のウェブサイトに、Nimdaワームに感染されたコンピューターに対するパッチを掲示している。トレンドマイクロ社のツール（名称： FIX_NIMDA.COM）も、同社のウェブサイトで入手可能。今後は、定期的にアンチウィルス系のウェブサイトをチェックし、この最新型 Bionetを検知する定義ファイルを探す必要がある。

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【19:30 GMT、10月 1、2001】

（詳しくはScan本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》