メールを開封するだけで感染 Finaldoワームが急速に急激に増殖 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

メールを開封するだけで感染 Finaldoワームが急速に急激に増殖

国際 海外情報

概要:
 Finaldoワームは、空欄になっている件名および主文の添付ファイルとして受信され、数種類のファイル形式に感染する。添付ファイルの容量は約46,000バイトで、.exeのような拡張子はついておらず、代わりに中国の国旗のアイコンがついている。

 ワームは、マイクロソフトのアウトルック及びアウトルックエクスプレスの脆弱性を利用し、メールを開封するだけでワームが発動し感染する仕掛け。また、アイコンをクリックしても感染する。添付が開かれると、tempフォルダーにFINALDOOM.dllとして隠しファイルを作成する。次にメールで拡散させる為のプログラム指示が記載されているFINALDOOM.emlを作る。

 Finaldoは、感染したコンピュータのMAPI互換のインボックス内にある送信リストを検索しレスポンスを出す事により拡散していく。送信していく先のアドレスはSMTPサーバーから拾う。次に.exe,.ocx及び.htmlファイルに感染していく。ワームのテキストには次のような記載がある。

Coded_by_CJH
Finaldoom is coming
Don't worry... It's no harm to your system !
It's only a demo version Made in china

(上記訳文:Finaldoom(世界消滅の日)が来る! しかし心配無用、システムには影響ないです。これは中国産のデモ・バージョンです。)


別名:
I-Worm.Finaldo, Final Doom, FinalDoom, W32/Finaldo


情報ソース:
・F-Secure Corp. Nov. 07, 2001
http://www.data-fellows.com/v-descs/finaldo.shtml
・PandaSoft Nov. 07, 2001
http://www.pandasoftware.com/


分析: (iDEFENSE米国)
 Finaldoワームは非破壊であるが、増殖と共にメールサーバーの能力低下や不安定にさせる事は有得る。ワームのコード自体にバグが見つかっており、増殖ルーチンが作動せず拡散しない事もある。メールを開くだけで感染するので、件名のないメールを受け取ったら開かずに削除する事。もし、誤ってメールを開封し感染した恐れがある場合には直ぐにヘルプデスク若しくはシステム管理者に報告の事。


検知方法:
FINALDOOM.dllかFINALDOOM.emlの存在は感染の兆候。


リカバリー方法:
 最新のアンチウイルスソフトはFinaldoワームの定義が追加されており、検知・除去できる。手動で除去する場合は感染したファイルを削除し、クリーンバックアップから削除したファイルを復旧させる。


ベンダー情報:
 F-Secure社およびPandasoft社からFinaldoの定義ファイルが入手可能。 また、アップデートされたアウトルック、アウトルック・エクスプレスはユーザの許可なしにメールに添付されてくるHTMLコードを実行させない仕組みになっている。このアップデートに関する情報はマイクロソフト社の次にサイトで入手可能。

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp


(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【19:43 GMT、11、7、2001】


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×