Fundllウイルスは、「Funny」という題名の電子メールで配信される | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.19(水)

Fundllウイルスは、「Funny」という題名の電子メールで配信される

概要:  Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。

国際 海外情報
概要:
 Fundllは、感染したVisual Basic Script (VBS)ファイルを添付した電子メールとして到着する。

Subject: Funny...Funny...Funny...stories.
Message: Here are some funny stories and I hope you'll enjoy them. Have a good time! Bye
Attachment:funnystories.txt (この間幾つかのスペースが入る) .vbs (1,495 bytes)

 添付ファイルが実行されると、Fundllは自身のコピーを下記場所に保存しようとする:

C:WindowsSystemFunnystories.txt (この間、幾つかのスペースが挿入される) .vbs
C:WindowsSystemFun.dll.vbs

 C:WindowsSystemは、複製ルーチンにハードコーディングされている。このパスがローカルコンピューターに存在していない場合(例:一部のWindows NTアプリケーション)、ファイルはコピーされない。

 またFundllは、下記レジストリキーの数値を1に設定して、待ち時間なしに電子メールが直ちに送信されるようにする:

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately

 最後に、Windows起動時に毎回実行されるよう、Fundllは下記レジストリキーを追加する。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs

別名:
VBS.Fundll@mm

情報ソース:
Symantec Corp. Dec. 11, 2001
http://www.symantec.com/avcenter/venc/data/vbs.fundll@mm.html

分析:
(iDEFENSE米国)  Fundllは、感染ファイルを広げるためのパスをローカルドライブ上にハードコーディングするため、他の大量メール型のウイルスほど急速に拡散しないだろう。しかし、Fundllが使用するパスは一般的なものであるため、インターネット上で拡散することが可能だ。

検知方法:
 下記ファイルが存在している場合、感染の可能性がある。

C:WindowsSystemFunnystories.txt (スペース).vbs
C:WindowsSystemFun.dll.vbs

リカバリー方法:
 Fundllを駆除するためウイルス定義ファイルの最新版を使用する。また、手動で駆除する場合、上記ファイルを削除する。また、下記レジストリを削除する:

HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsmailSend Mail Immediately
HKEY_CURRENT_USERSoftwareMicrosoftOffice8.0OutlookOptionsmailSend Mail Immediately
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Fundll = C:WindowsSystemFun.dll.vbs

暫定処置:
 .vbsタイプの添付ファイルをブロックすること。また、Outlook 2000にアップグレードすることでこの種のウイルスの感染を予防できる。Outlook 2000以前のバージョンの使用者は、脆弱性をパッチし、一般的な悪意のあるコードの添付ファイルをブロックするため、マイクロソフト社のセキュリテパッチをインストールすることを推奨する。VBS攻撃から保護するためには、VBSアプリケーションをローカル マシンで使用不可とする。

ベンダー情報:
 Symantec社のNorton AntiVirusの使用者は、現在防護されている。その他のウイルス対策ソフトウェアについても、Fundllを施行錯誤的に検知するか、また定義ファイルのアップデートを提供することと思われる。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【20:36 GMT、12、11、2001】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×