◆概要: 論議を呼んでいるFriendsGreetingsコードの配布元であるPermissioned Mediaは、ワームに似た同社のコードをユーザーに対して大量メール送信を続けるための新しいウェブサイトを実装した。この新しいウェブサイトは今までの亜種とは異なり、ウェブサイトのIPアドレスをポイントしているインターネットリンクを介して拡散する(ID# 112541, Oct. 25, 2002)。 同コードの既に出回っている亜種のケースでは、大量メールを送信する前にユーザーが「End User License Agreement(EULA:一般ユーザーライセンス同意書)」に同意する必要がある。このように、当該コードは自己ルーチンの実行前にユーザーに許可を求めるため、厳密にはワームとは定義できない。 この新しい亜種は、友達から送られてきた電子グリーティングカードをユーザーに選択させるため、 http://65.240.226.248/203746/pickup.html? へ行くように指示する。このコードの送信する電子メールは、次のような内容で表示される。Subject: Sender recently created you a greeting card - Recipient.Message: Recipient,Sender recently mailed you an e-card greeting.Retrieve your greeting card by going here.http://www.Friend-Card.net/pickup.aspx?code=name&id=numberNote;Recipient,Please see the e-card just e-mailed.================================== この他にも、http://www.friend-card.comというサイトも使用されている可能性がある。◆別名: FriendsGreetings、Friend Greetingアプリケーション(III)、 FriendGreetings◆情報ソース:・AVIEN ( http://www.avien.org/ ), Nov. 20, 2002・iDEFENSE Intelligence Operations, Nov. 20, 2002◆キーワード: Worm: E mail Worm: Other◆分析: (iDEFENSE 米国)FriendsGreetingsは、その大量メール送信機能が巧妙に隠されている点で物議をかもしている(ID# 200100, Nov. 14, 2002 )。このワームはこれから年末から 2003年にかけて、さらにアップデートを繰り返す可能性がある。◆検知方法: 問題のコードが実行されるためには、ユーザーがサイトに行ってsetupを実行し、一般ユーザーライセンス合意書(EULA)に同意する必要がある。このファミリーの亜種の場合と同じく、FriendsGreetingsの作成する電子メールと多くのファイルに注意する。◆リカバリー方法: FriendsGreetings関連のファイルを全て削除し、更に、破壊されたファイルや被害にあったファイルを、クリーンなバックアップコピーで修復する。◆暫定処置: この種の新しい攻撃用コードに対する注意を、全ユーザーに対して促す。また、次の各ドメインに対してフィルタリングを設定する。65.240.226.248http://www.friend-card.comhttp://www.cool-downloads.comhttp://www.cool-downloads.nethttp://www.friend-cards.comhttp://www.friend-cards.nethttp://www.friend-greeting.comhttp://www.friend-greeting.nethttp://www.friendgreetings.comhttp://www.friendgreetings.nethttp://www.laugh-mail.com◆ベンダー情報: アンチウイルスアプリケーションによっては、このコードをジョークソフトウェアやワームとして検知できる場合もあるが、まったく検知しないアンチウイルスアプリケーションもある。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【14:50 GMT、11、22、2002】
