電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.24(月)

電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム

◆概要:  Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。

国際 海外情報
◆概要:
 Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。

 Tendoolfが送信する電子メールの特徴は以下の通り。

件名: Thoughts
本文:I just found this program, and, i dont know why... but it reminded me of you. check it out.
添付ファイル: Cute.exe (228,352 bytes or 608,768 bytes)

 感染添付ファイルが実行されると、Tendoolfはマイクロソフト社のWindowsオペレーティングシステムを実行しているコンピューターを攻撃する。また、当該ワームはMicrosoft Outlookのアドレス帳に記載された全てのアドレスに対し、大量メール送信を実行しようとする。ただし、Network Associates社によれば、ラボ環境ではこの大量メール送信ルーチンの実行は成功しなかったという。

 TendoolfがSubSevenのインストールに成功した場合、リモート攻撃者は乗っ取ったコンピューターをリモートコントロールできる可能性がある。Tendoolfは、SubSevenをkernel32.exeファイルとしてWindowsディレクトリーにコピーし、Windowsの起動時にこのファイルが実行されるようWindowsのリジストリを変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Windows=C:Windows Directorykernel32.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Windows=C:Windows Directorykernel32.exe

 また、ワームは、トロイの木馬をメモリーで実行するため、System.iniファイルを変更する。この場合、shell=Explorer.exeステートメントが以下の値に変更される。

shell=explorer.exe C:Windows Directorykernel32.exe

 また、Win.iniファイルも書き換えられ、load=statementが以下の値に変更される。

load=C:Windows Directorykernel32.exe

◆別名:
 W32.Tendoolf, Tendoolf, Backdoor.SubSeven, SubSeven, Sub7

◆情報ソース:
・ Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/w32.tendoolf.html ), May 01, 2002

◆分析:
 (iDEFENSE米国)SubSevenは、ソフトウェアの盗用、アカウントの乗っ取り、コンピューター活動の監視などの悪意のある活動に用いられる、広く行き渡った一般的なトロイの木馬である。Tendoolfは、このトロイの木馬を他のコンピューターに大量送信するように設計されているが、マスメールルーチンを正しく実行できないようである。よって、Tendoolfが拡散する可能性は低い。

◆検知方法:
 上述の電子メール、Windowsディレクトリーのkernel32.exeファイル、及び当該ワームが作成したWindowsのリジストリキーがないか確認する。また、ワームをコンピューターの起動時にメモリーで実行するためのステートメントの変更がないか、System.ini、Win.iniファイルを確認する。

◆リカバリー方法:
 Tendoolfに関連する全てのファイルとWindowsのリジストリキーを削除する。破壊・破損したファイルをクリーンなバックアップコピーで復元する。また、ファイアウォールで全ての通信を監視し、バックドアツール及び関連する通信が完全に緩和されていることを確認する。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 現在 (5/02/2002@14:50:30GMT)、シマンテック社のアンチウイルスソフトウェアが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるコードを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:50 GMT、05、02、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×