概要
W32/BadTransは電子メール添付のファイルとして配布される悪意ある
Windowsプログラムである。Internet Explorerの既知の脆弱性のため、
Outlook ExpressやOutlookのような一部の電子メールプログラムでは
電子メールメッセージを閲覧しただけでこの悪意あるプログラムが
実行されることがある。
説明
W32/BadTransワームはシステムを攻略し自己伝播するのに既知の脆弱性
2つを利用しようとする。
W32/BadTransを含む電子メールのMIMEヘッダフォーマットは、特定の
MIMEタイプによって任意のコードが実行できてしまうInternet Explorer
の脆弱性に付け入ろうとする([訳者追補]この部分は原文通りだが、
もちろんヘッダ自体が何かを行なおうとしているというわけではない。
この部分を言い換えれば「W32/BadTransを含む電子メールのMIMEヘッダ
にはInternet Explorerがヘッダ情報の解釈時に特定のMIMEタイプがある
と判断すると自動的に任意のコード
を実行してしまう脆弱性を突くような内容になっている」ということである)
修正パッチの情報も含め、詳しくは次の文書を参考にされたい。
-
CERT Vulnerability Note VU#980499
http://www.kb.cert.org/vuls/id/980499
この脆弱性に対する修正パッチを適用したシステムであれば、
この添付ファイルを実行するかどうか尋ねる確認メッセージ
がユーザに表示される。ただし、こうしたシステム上でも
この添付ファイルを実行すれば攻略されることになる。
ユーザは添付ファイル中に悪意あるコードが入っていないこと
が確認できるに足る注意を払うのでない限り、電子メールに
添付されたファイルを実行すべきではない。
W32/BadTransに感染した電子メールに添付されるファイルの名前はメッセージ
によって異なるが、ファイル拡張子が2つある点は共通している。標準設定では
Windowsは以下でも記載している通り、本来のファイル拡張子([訳注]ファイル名
の一番末尾に付く拡張子のこと)を表示しない。
-
CERT Incident Note IN-2000-07
http://www.cert.org/incident_notes/IN-2000-07.html
この悪意あるプログラムが実行されると、このコピーがWindowsディレクトリ
に"Kernel32.exe"として書き込まれる。
C:\WINDOWS\Kernel32.exe
MD5 checksum = 0bf5eaeed25da53f85086767bcd86e5e
Filesize = 29020 bytes
Kernel32.exeが実行され、最初に実行された添付フィルはシステムから
削除される。Kernel32.exeはWindowsのバージョンによってはシステム
サービスの一つとして実行されることがあり、このため、Microsoftが
提供するデフォルトのシステムタスク一覧には表示されないことがある。
Kernel32.exeはc:\windows\systemディレクトリにさらに2つのファイルを
書き込む。
C:\WINDOWS\SYSTEM\kdll.dll
MD5 checksum = c7ceb9fb63edc7fb7c7767f899ff5491
Filesize = 5632 bytes
C:\WINDOWS\SYSTEM\cp_25389.nls
MD5 checksum = varies
Filesize = varies
報告によれば、"kdll.dll"ファイルには、感染したコンピュータ上での
ユーザのキーストロークを記録するルーチンがある。"cp_25389.nls"ファイル
には、記録されたキーストロークが暗号化された形で保管される。報告
によっては、このログファイルの内容は電子メールで特定のアドレスに
送信され、結果として秘匿すべき情報が漏洩してしまう可能性がある。
kernel32.exeはコンピュータが再起動された際、再起動されたことを
確認するレジストリキーをセットする。
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32 = "kernel32.exe"
kernel32.exeは実行中にこのレジストリ値がセットされているかを確認する
ため、約10秒ごとにこのレジストリ値をチェックする。
報告によれば、W32/BadTransは自身のコピーを電子メールで送信する。
その宛先は、返信しなかった電子メールのアドレスや、コンピュータ
システム上で見つかったファイル中に書かれたアドレスである。W32/BadTrans
が作成、送信する電子メールメッセージには次のような特徴がある。
- SMTPセッション中に、W32/BadTransホストは"HELO AOL.COM"文を
発行する。一般的には、これはメッセージ中に記載されるReceived:ヘッダ
を見れば分かる。
- From:ヘッダ内のアドレスには送り手の電子メールアドレスの前に
'_'が付けられている。
- MIMEヘッダには次のような文字列がある。
Mime-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
- MIMEメッセージの本体は次のようなものが含まれている。
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="filename.ext.ext"
Content-Transfer-Encoding: base64
Content-ID:
公開フォーラムでの報告では、W32/BadTransはバックドアを仕掛ける
という報告もあるが、CERT/CCでの分析ではこうした報告を裏付ける
ことはできていない。
影響
このワームは、ワーム自体を起動してしまったユーザに付与された権限と
同じ権限レベルで任意のコードを実行できる。
このワームが伝播する際、経由点となるホストや電子メールシステムが
サービス妨害(DoS)状態に陥るサイトもありえる。
解決策
ベンダが提供する適切な修正パッチを適用せよ
脆弱なInternet Explorer(IE)を動作させている場合は、少なくとも
バージョン5.0以降へアップグレードすることを推奨する。というのは
それより古いバージョンはもはやMicrosoftが正式にはメンテナンスして
いないからである。IE 5.0またはそれ以降のバージョンの場合は、
"埋め込まれたMIMEタイプの自動実行"に関する脆弱性に対処するための
Microsoftが発行した修正パッチを適用することを推奨する。これは
以下で入手できる。
-
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
[訳者追補]この修正パッチは
日本語版も既に公開されている。日本語版は
MS01-020(日本語版)である。
注: IE 5.5 SP1のユーザはMS01-027
で紹介されている修正パッチを適用すべきである。[訳者追補]この修正パッチは
日本語版も既に公開されている。日本語版は
MS01-027(日本語版)である。
[訳者追補]MS01-027はIE 5.0, 5.5のセキュリティロールアップにも収録されて
いる。しかしながら、こうした個別の問題のみに対処するよりもIE 5.0, IE 5.5の
いずれの場合も既にSP2が公開されているので、Windows Updateを利用してこちらに
アップグレードすることを強く推奨する。一方、IE 6.0については少なくとも訳者
がこれまで得た情報の範囲では5.0, 5.5からの移行がすべての環境で正しくできる
との確信を得られていないため、訳者の個人的見解としてはSP1またはそれ以前
のIE 5.0, 5.5から直接、IE 6.0へアップグレードすることは推奨しない。
ウィルス対策製品を使い、最新状態に保て
すべてのユーザがウィルス対策用ソフトウェアをインストールし、常にシステムを監視させるべきである。そして(訳注:この斜字体の部分は訳者が追補した)、ウィルス対策用ソフトウェアを最新状態に更新するのが重要である。たいていのウィルス対策製品のベンダはこの悪意あるコードを検知し、部分的に復旧を図る手助けとなるような情報、ツール、ウィルス定義ファイルの最新版を既に公開している。各ベンダのウィルス対策製品情報についてはAppendix Aを掲載している。
ウィルス対策用ソフトウェアにはたいていウィルス定義ファイルの自動更新機能がある。利用できる場合は、この自動更新機能を利用することを我々は推奨する。
[訳者追補] ただし、自動更新機能は必ずしも万能ではない。エンジンやウィルス定義ファイルを更新した際にシステムの再起動を求める製品が多いが、システムを24時間稼動させるような使い方をしている場合、(1) 再起動するまで更新されたものは有効になっていないことがあったり、(2) 再起動するまで次の更新は行なわれないことがあったりする。これは同一の製品においても環境によって異なる場合があるようだが、訳者としては、製品が要求するかどうかを問わず、ウィルス対策製品に関する更新を行なった場合、システムを再起動することを推奨する。
電子メールの添付ファイルを開かない
W32/BadTransワームは"file.ext1.ext2"といったファイル名で
電子メールに添付されて届くことがある。ユーザはこの種のファイル名
の添付ファイルを開くべきではない。この種の添付ファイルを
どうしても開かなければいけない場合、実行する前に悪意あるコードを
スキャンさせるようなやり方で扱う慎重さを発揮することをCERT/CCは
推奨する。
報告求む
CERT/CCはこの活動に関する報告を募集する。自分の管理下にあるマシン
が攻略された場合、タイトル行に[CERT#23969]を含めたメールをcert@cert.org
に送られたし。
[訳注]当然のことだが、このタイトルのメールを含め、この文書の訳出
上の問題/疑問点以外の情報を訳者に送られても何も対処はできないので、単なる
FYIとして以外でこのワームについての情報を訳者に送るべきでない。
* "CERT" 並びに "CERT Coordination Center" はU.S. Patent and Trademark Officeに登録されている。
Copyright 2001 Carnegie Mellon University.