【詳細情報】グリーティングカードが検知を回避するため変更される

◆概要：
　実環境に広まっている新しいeカードの電子メールは、友人からのeカードを表示するようユーザーに促す。エンドユーザー使用許諾書（EULA）には、このeカードはワームのような活動をすると明示されていたが、複数の組織が陰険な悪意のあるプログラムとして報告

国際海外情報

2002年11月8日（金） 12時00分

◆概要：
　実環境に広まっている新しいeカードの電子メールは、友人からのeカードを表示するようユーザーに促す。エンドユーザー使用許諾書（EULA）には、このeカードはワームのような活動をすると明示されていたが、複数の組織が陰険な悪意のあるプログラムとして報告した後、オリジナルはインターネット上で非公開になっていた。コードに関連づけられていた元々のURLは現在では復活されている。また、初期の報告では、シマンテック社のNorton AntiVirusソフトウェアで検知されないよう、悪意のあるプログラムが変更されていると指摘されている。

　FriendGreetings.comがこの製品をホストしている。一部では、このカードは大量メール送信型ワームだと考えられており、使用許諾書にユーザーのアドレス帳に記載された全てのアドレスに対し、大量メール送信を実行すると記載されている通り、実際にActiveXコントロールが組み込まれている。

　ActiveXコントロールが送信する電子メールの特徴の一例は以下の通り。

Subject: recipient name you have an E-Card from sender name.
Message: Greetings!

sender name has sent you an E-Card - a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.

http://www.friendgreetings.com/ pickup/pickup.aspx?code=AL&id=2410021 Message:
──────────────────────────────
Recipient Name,
I sent you a greeting card. Please pick it up.
──────────────────────────────

　サイトにアクセスすると、署名済みのActiveXコントロールが起動し、FriendGreetingsという名前のコントロールを実行する。ユーザーがActiveXコントロールを許可している場合、セットアップルーチンを実行する。ルーチンの実行中、同製品は、以下の選択されたテキストを含む複数の長たらしい画面を表示する。

InstallShield Wizard
2. Consent to Receive Ads and Use of Information. By downloading, installing or using PerMedia, you agree to receive advertisements from Permissioned Media's business partners and associates. The ads will be interstitials ("pop-up and pop-under ads"), e-mail messages and in other formats. As more fully described in Permissioned Media's Privacy Statement, when you download, install or use PerMedia, Permissioned Media gathers personally identifiable information about you (such as your name and e-mail address). This information is used to select and deliver installation files for optional new PerMedia and/or third party software applications and to deliver advertisements in interstitals, e-mail and other formats to you.

　上記のテキストには、PerMediaによるポップアップ広告の実行、電子メールの送信、その他のメディアの転送の実行の許可が記載されている。

◆情報ソース：
・iDEFENSE Intelligence Operations, Oct. 24, 2002
・AVIEN ( http://www.avien.org/ ), Oct. 28, 2002

◆キーワード：
　Hoax: Other Worm: E mail
　Worm: Other Incident: Other

◆分析：
　（iDEFENSE米国）ユーザーに動作を通知しているため、当該製品はワームではないが、技術的には宣伝にワームと同じ技法を使用している。この技法はいくらよく見ても怪しげである。当該製品には、ユーザーに動作を通知する署名済みのActiveXコントロールが組み込まれているが、長たらしい使用許諾書を読む人はほとんどいないと思われる。

　その結果、多くの人々が、アドレス帳に記載されているユーザーが同サービスを宣伝する電子メールを受信することになると気づかずに、ActiveXコントロールを実行する可能性が高い。また、ActiveXコントロールが様々なユーティリティ、スパイウェアをインストールする可能性もある。

　ActiveXコントロールの実行の危険性と、平均的なユーザーには機能全体が特定しづらいこの新たな脅威について、ユーザーに警告する必要がある。また、このような内容を含む電子メールをブロックし、企業ネットワーク上でActiveXコントロールの無許可の実行を防ぐ強力なポリシーを施行すべきである。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【19:50 GMT、10、30、2002】

《ScanNetSecurity》