|
 |
|||
|
お客様各位 |
|||
| 2001年 12月10日 東京都新宿区北新宿3−1−16 第2事業本部 セキュリティ技術部 |
|||
ワーム「Badtrans」をRealSecureで検知する方法について |
|||
1.概要 「Badtrans」とは、自分自身を数種類のファイル名のうちいずれかのファイル名をつけた添付ファイルとして電子メールで勝手に送りつけるMAPI(Microsoft社が標準化した、電子メッセージングアプリケーション APIを利用した)ワームです。種類は、W32/Badtrans-AとW32/Badtrans.B@mmなどがあります。このワームはまた、ファイル\Windows\System\Kdll.dllを作成し、このファイルにある関数を使ってキー操作のログを生成します。このワームは「Take a look to the attachment」という内容の電子メールで届きます。添付ファイルのファイル名は下記から任意に選択されます。 |
|||
|
|||
ワームの返信メールの本文は、以下のようになります。
もしメッセージの本文が空の場合は、ワームの返信は、上記1行「Take a look to the attachment」となります。宛先に関しては"*.asp"や"*.ht*"ファイルの中にある電子メールアドレスが使われます。送信元には、本来の送信者のアドレスか、あるいは表2のアドレスのうちのいずれかが使われます。(なお、前者のアドレスが使われた場合は、アドレス先頭に"_"(アンダーライン)が追加されるので、そのアドレスに返信することはできません)。 詳細は送信者のアドレス一覧をご覧下さい。
表2.送信者アドレス一覧表 |
|||
2.ワームの情報 詳細の情報のリンク先は下記をご参照ください。 http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_BADTRANS.B (トレンドマイクロ社) http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM (ネットワークアソシエイツ社) 3.「BadTrans」のワームメールをRealseucre NetworkSensorで検知する方法 (1).SensorPolicyの画面を出してから、ポリシー(例:test(図1))ファイルを選び、「Customize」をクリックしてください。 (2).PolicyEditorが立ち上がったら「User Defined Events」タブを選んでください。 (3).「Add」をクリックした後イベントの名前は任意につけることができます。 (例:badtrans_virus) (4).「Contxt」のフォルダの中から「Email_Content」を選んでください。 そして、Search Stringのフォルダの中に「====_ABC1234567890DEF_====」を入力してください。 (5).ファイルを書き終えたらセーブしてください。そしてウィンドウを閉じてください。 (6).Realsecureをたちあげた後、同期したSensorをManaged Assets(6.X),Monitor Sensor(5.X),Monitor Detector(3.X)からNetworkSensorまたはNetwork Detectorを選んで下さい。そして右クリックして、追加したポリシーを選び、「Apply to Sensor」(6.X,5.X)または「Apply to Detector」(3.X)をクリックしてください。 |
|||
 図1.RealSecureのUser Defined Events設定画面 |
|||
4.その他 なお、平成14年1月中旬リリース予定のInternetScanner6.2.1も「Badtrans」への脆弱点を発見できます。 |
|||
|
以上 |
|||