【詳細情報】Neiberワームの拡散が加速中

＜編集部よりお詫び＞
本ページ内にあるURLが、ワームの存在するページへとリンクしておりました。ワームの説明状必要なURLではありますが、ハイパーリンクを解除するなどの配慮が足りず、ユーザーの皆様を感染の危険にさらしてしまいました。
本件について、心よりお詫

国際海外情報

2002年8月23日（金） 12時00分

＜編集部よりお詫び＞
本ページ内にあるURLが、ワームの存在するページへとリンクしておりました。ワームの説明状必要なURLではありますが、ハイパーリンクを解除するなどの配慮が足りず、ユーザーの皆様を感染の危険にさらしてしまいました。
本件について、心よりお詫び申しあげます。
今後、このようなことを起こさぬよう、細心の注意を払い記事の取り扱ってまいります。

2003.12.01　Scan編集部

◆概要：
　Neiberは大量メール送信型ワームで、Microsoft Outlookのアドレス帳にある全てのアドレスに悪意のある電子メールを送信する (ID# 110873, Aug. 1, 2002)。 Neiberが送信する電子メールの特徴は、以下の通り。

Subject: Attention virus
Message: Appears blank but contains the HTML source code for the worm

　Neiberに添付ファイルは含まれていないが、HTML形式の電子メール (5,652バイト) の本文に悪意のあるコードが埋め込まれている。Nieberを実行すると、このワームがWindows Systemディレクトリーにbernie.vbs という自己コピーを作成する。また、Windowsリジストリを以下のように変更して、Windows起動時にこのファイルを実行し、大量メールの送信完了をマークする。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Bernie=wscript.exe System DirectoryBernie.vbs %

HKCUsoftwareBernie
Mailed="1"

　続いてNieberは、Windows Address Book (WAB) にある全てのアドレスに対し、HTML形式の電子メールの送信を試みる。また、全てのローカルドライブとマッピングされたドライブ上で.vbe ファイルと .vbsファイルを検索し、検出されたファイルをワームのコピーで上書きする。さらに、多数のNotepadを開いてあからさまなサービス拒否 (DoS) 攻撃を実行し、リソースを使い果たすほか、Internet Explorerのホームページとして使用するページをｈｔｔｐ：／／ｍｅｍｂｅｒｓ．ｌｙｃｏｓ．ｆｒ／ａｏｔｅａｍ／ｍａｎｇｅ．ｃｏｍに変更する。
（上記URLの示すページにはワームが存在するため、ハイパーリンクをきっております。ご注意ください）

◆情報ソース：
・Trend Micro Inc. ( http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_NIEBER.A&VSect=T ), July 30, 2002
・iDEFENSE Intelligence Operations, July 30, 2002
・Symantec Corp. (http://www.symantec.com/avcenter/venc/data/vbs.neiber.a@mm.html), Aug. 08, 2002
・iDEFENSE Intelligence Operations, Aug. 09, 2002

◆キーワード：
　Worm: E mail

◆分析：
　(iDEFENSE 米国) Neiberの拡散は現在加速中であり、シマンテック社ではこのワームの危険度をレベル2として評価している。Nieber に関連した悪意のあるウェブサイトとmange.com ファイルは現在も公開されており、ダウンロードが可能である。mange.com には、Windowsディレクトリー内の .com および .exe拡張子の付いた全ファイルを削除する命令が含まれている。.com ファイルに含まれるフランス語のテキストは、英語で「Bernie Eats」を意味するもので、ファイル削除ルーチンに関連していると推測される。

◆検知方法：
　前述の電子メールと、NieberがWindows Systemディレクトリーに作成するbernie.vbsに注意し、このワームが作成するWindowsリジストリキーを探す。また、Internet Explorer の変更とmange.com にも注意する。

◆リカバリー方法：
　Nieberに関連する全てのファイルとWindowsリジストリキーを削除し、.vbe ファイルと .vbs ファイルを含む破壊・破損したファイルをクリーンなバックアップコピーで修復する。 mange.comが実行された場合は、オペレーティングシステムと関連ファイルの再インストールが必要になる可能性もある。

◆暫定処置：
　一般的に悪意のあるコードが他のコンピューターへの感染に用いる種類のファイルをブロックするよう、電子メールサーバーとワークステーションを設定する。全ての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。電子メールソフトウェアを設定して、読み取り可能な電子メールをテキスト形式のメールに限定し、HTML電子メールの脆弱性の悪用を防止する。

　通常のオペレーションでWSH（Windows Scripting Host）が不要な場合、これをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、関連づけを完全に削除する。

◆ベンダー情報：
　現在、複数のアンチウイルスソフトウェアで、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのNeiberを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:33 GMT、08、09、2002】

《ScanNetSecurity》