Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

Nimda対応パッチ付きメールに、Bionet トロイの木馬が含まれている可能性

脆弱性と脅威 脅威動向

概要:
 一見、トレンドマイクロ社及びセキュリティ・フォーカス社から出ているように見える、Nimdaワームのパッチを提供するメールが、実際にはトロイの木馬 “Bionet”を含んでいる可能性がある。Bionetは、感染したコンピューターをリモートでコントロールし、情報を引き出すことを可能とするバックドア・ツールである。問題のメールは、FIX_NIMDA.EXEというファイルを添付し、下記内容で到着する。


<抄訳>
件名: Nimdaワーム感染の可能性
内容:
 こんにちは。本メールは、Trend Micro社の協力でSecurity Focus社の ARIS分析サービス (Attack Registry and Intelligence Service)から出しているものです。
メディア報道でご存知の通り、Nimdaワームは拡大を始めています。貴社の下記システムが、Nimdaワームによって感染したという情報を、弊社は入手致しました。
Nimdaワームはインターネット上で急速に拡大しています。貴社のアドレスであることが判明しているのは、下記の通りです:
(メールのアドレス)
尚、Nimdaワームに関する最新情報は、下記で入手できます:http://aris.securityfocus.com
上記アドレスに関連するシステムを、添付の特別 Nimdaパッチ (FIX_NIMDA.EXE) でチェックして頂くことは非常に重要です。
また、システムの最新アップデートを導入していることは重要です。最新アップデートは、下記 URLで入手可能です:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp1-26.html
Security Focus社 ARISアナリストチームより
aris-report@securityfocus.com
添付: FIX_NIMDA.EXE

(■編集部註:上記メールの原文は英文となっております)


 上記実行ファイルを開くと、Bionetのインストールが可能となる。添付ファイルは、Winzip型の実行ファイルであり、デフォルトの Windows Systems directoryに win32cfg.exe、 keyeye.ini、keyboards.dll、及び keyboards.exeをインストールする。win32cfg.exeは、感染したコンピューターへのリモートアクセスを可能とする、バックドア・クライアントのようである。また、keyboards.exeは、キー・ストロークのログ情報を、デフォルト Windowsフォルダー内の keylog.txtに保存する、ロギング・プログラムのようだ。

情報ソース:
Security Focus (Re: WARNING: Trojan Horse Disguised as Message from SecurityFocus and TrendMicro), Oct. 01, 2001
Symantec Corp. June 21, 2001
http://www.symantec.com/avcenter/venc/data/backdoor.bionet.318.html

分析:
 更に分析結果が明らかになるにつれ、iDEFENSE社は追加レポートを出していく予定である。現在、幾つかのアンチ・ウイルスメーカーのウェブサイトで Bionetの情報が入手できる。ただし、メーカーによる Bionetの説明と、今回の Bionetの動きが異なっている部分が幾つか見られる。取り急ぎ、FIX_NIMDA.EXEというファイルが添付されているメールは、開かず削除することをユーザーに強く勧める。一般的に、送信者が確認できないメールの添付ファイルは、絶対開いてはならない。尚、通常 セキュリティ会社は、実行ファイルを送付することは絶対にせず、ユーザー側に自社のウェブサイトにアクセスしてもらい、必要なファイルをダウンロードする方法をとっている。

検知方法:
 win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe というファイルが存在している場合、感染されている可能性がある。

リカバリー方法:
 このバージョンの Bionetを手動で取り除くためには、win32cfg.exe及びkeyboards.exeのプロセスを消す必要がある。そのためには、win32cfg.exe、keyeye.ini、keyboards.dll、keyboards.exe、及び keylog.txtのファイルを検知し、削除する必要がある。

暫定処置:
 メールサーバー及ファイアウォールをフィルタリングし、FIX_NIMDA.EXEという添付ファイルを含むメールをブロックする。

ベンダー情報:
 ほとんどの主要アンチウイルスメーカーは、自社のウェブサイトに、Nimdaワームに感染されたコンピューターに対するパッチを掲示している。トレンドマイクロ社のツール(名称: FIX_NIMDA.COM)も、同社のウェブサイトで入手可能。今後は、定期的にアンチウィルス系のウェブサイトをチェックし、この最新型 Bionetを検知する定義ファイルを探す必要がある。


※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:30 GMT、10月 1、2001】


(詳しくはScan本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  5. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×