Internet Watch logo
記事検索
最新ニュース

OutlookとIEの脆弱性を悪用してプログラムを自動実行するウイルス

~添付ファイル内のEXEファイルを自動実行して感染を広げる

 日本ネットワークアソシエイツ株式会社(NAC)、トレンドマイクロ株式会社、株式会社シマンテックらウイルス対策ベンダー各社は、Outlook ExpressとInternet Explorerの脆弱性を悪用したウイルス「MIMAIL」を警告した。NACでは危険度「中」、トレンドマイクロではイエローアラート、シマンテックでは危険度「3」として、それぞれ注意と対策を呼びかけている。

 MIMAILは、IEのObject Tag code base exploit(MS02-015)と、OEのMHTML exploit(MS03-014)という2つの脆弱性を悪用するウイルス。感染活動は、サブジェクトが「your account %user%」、添付ファイルが「Message.zip」となっているメールによって行なわれる。Message.zip内には、Message.htmが含まれており、MHTML exploitの修正パッチをあてていない場合には、脆弱性を利用して自動的に「foo.exe」をIEのテンポラリーフォルダに作成する。また、Windowsディレクトリに「videodrv.exe」「exe.tmp」「zip.tmp」というファイルを作成する。

 videodrv.exeはウイルス自身のコピーで、レジストリ情報を以下のように書き換えることでウィンドウズの起動時に自動実行するようになる。

場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"VideoDriver"="Windowsディレクトリ\videodrv.exe"

 MIMAILは感染に成功すると、google.comへコンタクトを試みインターネットに接続されているかどうかを確認する。そして、「avi」「bmp」「cab」「com」「dll」「exe」「gif」「jpg」「mp3」「mpg」「ocx」「pdf」「psd」「rar」「tif」「vxd」「wav」「zip」以外のローカルファイルからメールアドレスを抽出し、Windowsデレクトリ内の「eml.tmp」に保存する。

 マイクロソフトによれば、MHTML exploit(MS03-014)脆弱性のパッチを適用しておけば、ウイルスが自動的に実行されることはないとしている。万が一感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、MIMAILとして検出されたファイルを全て削除する必要がある。または、シマンテックやトレンドマイクロから提供されている専用の駆除ツールを利用する方法もある。


関連情報

URL
  ネットワークアソシエイツ
  http://www.networkassociates.com/japan/security/virM.asp?v=W32/Mimail@MM
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.A
  シマンテック
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.mimail.a@mm.html
  シマンテックの駆除ツールダウンロードサイト
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.mimail.a@mm.removal.tool.html
  マイクロソフト
  http://www.microsoft.com/japan/technet/security/virus/mimail.asp
  関連記事:Outlook ExpressとIEの深刻な問題に対する累積的修正プログラム
  http://internet.watch.impress.co.jp/www/article/2003/0424/ieoe.htm


( 岡田大助 )
2003/08/04 11:53

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.