電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.18(金)

電子メールでトロイの木馬「SubSeven」を拡散するTendoolfワーム

国際 海外情報

◆概要:
 Tendoolfは、電子メール経由で悪名高いトロイの木馬 SubSevenを拡散するワーム(ID# 155832, Sept. 21, 2000)。

 Tendoolfが送信する電子メールの特徴は以下の通り。

件名: Thoughts
本文:I just found this program, and, i dont know why... but it reminded me of you. check it out.
添付ファイル: Cute.exe (228,352 bytes or 608,768 bytes)

 感染添付ファイルが実行されると、Tendoolfはマイクロソフト社のWindowsオペレーティングシステムを実行しているコンピューターを攻撃する。また、当該ワームはMicrosoft Outlookのアドレス帳に記載された全てのアドレスに対し、大量メール送信を実行しようとする。ただし、Network Associates社によれば、ラボ環境ではこの大量メール送信ルーチンの実行は成功しなかったという。

 TendoolfがSubSevenのインストールに成功した場合、リモート攻撃者は乗っ取ったコンピューターをリモートコントロールできる可能性がある。Tendoolfは、SubSevenをkernel32.exeファイルとしてWindowsディレクトリーにコピーし、Windowsの起動時にこのファイルが実行されるようWindowsのリジストリを変更する。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Windows=C:Windows Directorykernel32.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Windows=C:Windows Directorykernel32.exe

 また、ワームは、トロイの木馬をメモリーで実行するため、System.iniファイルを変更する。この場合、shell=Explorer.exeステートメントが以下の値に変更される。

shell=explorer.exe C:Windows Directorykernel32.exe

 また、Win.iniファイルも書き換えられ、load=statementが以下の値に変更される。

load=C:Windows Directorykernel32.exe

◆別名:
 W32.Tendoolf, Tendoolf, Backdoor.SubSeven, SubSeven, Sub7

◆情報ソース:
・ Symantec Corp. ( http://www.symantec.com/avcenter/venc/data/w32.tendoolf.html ), May 01, 2002

◆分析:
 (iDEFENSE米国)SubSevenは、ソフトウェアの盗用、アカウントの乗っ取り、コンピューター活動の監視などの悪意のある活動に用いられる、広く行き渡った一般的なトロイの木馬である。Tendoolfは、このトロイの木馬を他のコンピューターに大量送信するように設計されているが、マスメールルーチンを正しく実行できないようである。よって、Tendoolfが拡散する可能性は低い。

◆検知方法:
 上述の電子メール、Windowsディレクトリーのkernel32.exeファイル、及び当該ワームが作成したWindowsのリジストリキーがないか確認する。また、ワームをコンピューターの起動時にメモリーで実行するためのステートメントの変更がないか、System.ini、Win.iniファイルを確認する。

◆リカバリー方法:
 Tendoolfに関連する全てのファイルとWindowsのリジストリキーを削除する。破壊・破損したファイルをクリーンなバックアップコピーで復元する。また、ファイアウォールで全ての通信を監視し、バックドアツール及び関連する通信が完全に緩和されていることを確認する。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。また、すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 現在 (5/02/2002@14:50:30GMT)、シマンテック社のアンチウイルスソフトウェアが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこの悪意のあるコードを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:50 GMT、05、02、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×