【詳細情報】IPアドレスを使用するFriendsGreetingsコード | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.24(日)

【詳細情報】IPアドレスを使用するFriendsGreetingsコード

国際 海外情報

◆概要:
 論議を呼んでいるFriendsGreetingsコードの配布元であるPermissioned Mediaは、ワームに似た同社のコードをユーザーに対して大量メール送信を続けるための新しいウェブサイトを実装した。この新しいウェブサイトは今までの亜種とは異なり、ウェブサイトのIPアドレスをポイントしているインターネットリンクを介して拡散する(ID# 112541, Oct. 25, 2002)。

 同コードの既に出回っている亜種のケースでは、大量メールを送信する前にユーザーが「End User License Agreement(EULA:一般ユーザーライセンス同意書)」に同意する必要がある。このように、当該コードは自己ルーチンの実行前にユーザーに許可を求めるため、厳密にはワームとは定義できない。

 この新しい亜種は、友達から送られてきた電子グリーティングカードをユーザーに選択させるため、 http://65.240.226.248/203746/pickup.html? へ行くように指示する。このコードの送信する電子メールは、次のような内容で表示される。

Subject: Sender recently created you a greeting card - Recipient.
Message: Recipient,

Sender recently mailed you an e-card greeting.

Retrieve your greeting card by going here.

http://www.Friend-Card.net/pickup.aspx?code=name&id=number
Note;
Recipient,
Please see the e-card just e-mailed.
==================================

 この他にも、http://www.friend-card.comというサイトも使用されている可能性がある。

◆別名:
 FriendsGreetings、Friend Greetingアプリケーション(III)、
 FriendGreetings


◆情報ソース:
・AVIEN ( http://www.avien.org/ ), Nov. 20, 2002
・iDEFENSE Intelligence Operations, Nov. 20, 2002

◆キーワード:
 Worm: E mail Worm: Other

◆分析:
 (iDEFENSE 米国)FriendsGreetingsは、その大量メール送信機能が巧妙に隠されている点で物議をかもしている(ID# 200100, Nov. 14, 2002 )。このワームはこれから年末から 2003年にかけて、さらにアップデートを繰り返す可能性がある。

◆検知方法:
 問題のコードが実行されるためには、ユーザーがサイトに行ってsetupを実行し、一般ユーザーライセンス合意書(EULA)に同意する必要がある。このファミリーの亜種の場合と同じく、FriendsGreetingsの作成する電子メールと多くのファイルに注意する。

◆リカバリー方法:
 FriendsGreetings関連のファイルを全て削除し、更に、破壊されたファイルや被害にあったファイルを、クリーンなバックアップコピーで修復する。

◆暫定処置:
 この種の新しい攻撃用コードに対する注意を、全ユーザーに対して促す。また、次の各ドメインに対してフィルタリングを設定する。

65.240.226.248
http://www.friend-card.com
http://www.cool-downloads.com
http://www.cool-downloads.net
http://www.friend-cards.com
http://www.friend-cards.net
http://www.friend-greeting.com
http://www.friend-greeting.net
http://www.friendgreetings.com
http://www.friendgreetings.net
http://www.laugh-mail.com

◆ベンダー情報:
 アンチウイルスアプリケーションによっては、このコードをジョークソフトウェアやワームとして検知できる場合もあるが、まったく検知しないアンチウイルスアプリケーションもある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:50 GMT、11、22、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×