複数ベンダーがFrethem.Bワームの存在をインターセプト

◆概要：
　新しく発見されたワームFrethem.Bは、ワームの作者に報酬が渡されるようデザインされており、現在複数のベンダーが当該ワームをインターセプトしている。

国際海外情報

2002年6月14日（金） 12時00分

◆概要：
　新しく発見されたワームFrethem.Bは、ワームの作者に報酬が渡されるようデザインされており、現在複数のベンダーが当該ワームをインターセプトしている。

　Frethem.Bは、さまざまなMicrosoft Outlook Expressの電子メールアーカイブ（.dbxファイル）、及び Windows Address Book（WAB）内の全アドレスに対し、独自のSMTPエンジンを使って感染メールを送信する。Frethem.Bが配信する電子メールは、次のような内容で表示される。

Subject:
Re: Your password!

Message:
Your password is W8dqwq8q918213

Attachment:
Your password placed in password.txt
yourpassword.exe (35,328 bytes)

　感染した添付ファイルを実行すると、Frethem.Bは自己コピーをsetup.exeとしてWindowsのスタートアップディレクトリーに作成する。次に、一般にmutexオブジェクトとして知られる排他制御オブジェクト (mutual exclusion object) を作成して、IEXPLORE_MUTEX_AABBCCDDEEFFというタイトルの付いたワームのコピーを1つだけメモリー内で実行しようとする。

　Frethem.Bは、下記のような複数のウェブサイトに接続して参照データを送信し、悪意のあるプログラムの作成者やその作成者の知っているユーザーに対して、ヒット数を増やしたり、金銭を入手できるようにすることを試みる。

・ http://12.226.37.205/b.cgi
・ http://12.249.159.107/b.cgi
・ http://137.204.230.6/b.cgi
・ http://24.112.73.219/b.cgi
・ http://24.157.108.78/b.cgi
・ http://24.190.219.22/b.cgi
・ http://24.67.234.143/b.cgi
・ http://24.81.193.45/b.cgi
・ http://4.41.131.58/b.cgi
・ http://4.47.172.132/b.cgi
・ http://4.63.105.4/b.cgi
・ http://64.229.226.190/b.cgi
・ http://65.101.211.71/b.cgi
・ http://65.32.45.34/b.cgi
・ http://66.176.166.16/b.cgi
・ http://66.30.52.166/b.cgi
・ http://66.56.147.100/b.cgi
・ http://68.100.32.96/b.cgi
・ http://68.38.178.152/b.cgi

　また、Frethem.Bの場合、悪意のあるコード内に次のようなテキストが含まれている。

nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!

　Frethem.Bは、日付が2002年5月29日、30日の場合、大量メール送信を実行しようとする。

◆別名：
　WORM_FRETHEM.B、Frethem.B、Frethem、Frethem.A、W32.Frethem.B@mm

◆情報ソース：
・ Trend Micro Inc.
( http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.B&VSect=T ), June 03, 2002
・ iDEFENSE Intelligence Operations, June 03, 2002
・ Computer Associates Inc. (http://www3.ca.com/virus/virus.asp?ID=12198 ), June 04, 2002
・ Symantec Corp.
( http://www.symantec.com/avcenter/venc/data/w32.frethem.b@mm.html ), June 03, 2002

◆分析：
　（iDEFENSE 米国）Frethem.Bの感染ファイルは、テキストファイルに見えるようデザインされている。添付ファイルは、ユーザーに分かり易いようような記述の後、多数のスペースを挿入し、最後にpassword.exeを含んでいる。また、大量メール送信の実行予定日は既に過ぎているが、それはFrethem.Bが大量メール送信を最大限に実行する日であって、その日にしか実行しないとは限らない。さらに、MyPartyが爆発的に拡散したところから見ても、世界中で多くのコンピューターが適切には設定されていないため（例：現地時刻の設定が間違っている）、ペイロード実行予定日以降も Frethem.Bが拡散する可能性は十分にある。

◆検知方法：
　上記のような電子メールや、Windowsスタートアップディレクトリー内でFrethem.Bが作成するsetup.exeをチェックする。

◆リカバリー方法：
　Frethem.Bに関連する全てのファイルを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置：
　一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう、電子メールサーバーとワークステーションを設定する。また、全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報：
　現在、トレンドマイクロ社のアンチウイルスソフトウェアでこの新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのFrethem.Bを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【11:45 GMT、06、05、2002】

《ScanNetSecurity》