sec_trusty

●トップページ
●サイトマップ
　●information
● メールはこちら

　会社概要
株式会社トラスティーのご紹介です。是非一度お読みください。

　不動産事業
不動産事業部のご紹介です。賃貸・売買等、お気軽にお問い合わせください。

　断熱工事事業
当社が行っている断熱工事のご紹介です。

　まちがいだらけのバッシング
まちがいだらけのバッシングシリーズの裏話や釣りに関する楽しい情報が満載です。

　村田基ファンクラブ
W.L.C.のイベント報告やグッズ情報などを紹介！

　2099 COMPANY
釣れない君プロデュース！オリジナルウェア情報や、コラム「釣れない君の週間毎日」、みんなの写真館など。

　T&M音楽教室
ピアノ、エレクトーン、ドラム教室のご案内です。

　ゴルフ工房JIM
当社オリジナルゴルフクラブD1の紹介です

　その他の事業
当社のゴルフクラブプロジェクト『ゴルフ工房JIM』や、情報通信事業等に関するご紹介です。

　リンク
楽しい&有意義なリンク集です。是非ご利用ください。

2001.11.29--情報公開--
【コンピューター

を以下

として記述しております。予めご了承ください。】

急増殖！
今度はバッドトランス！
W32.Badtrans.B@mm
そして、Aliz
W32.Aliz.Worm

ここでは主に、2001年11月30日現在で比較的新しいバッドトランスについて説明します。
Alizについては巻末に簡単な説明を記します。

・バッドトランス
発見日: 2001年11月24日
情報提供日: 2001年11月29日

2001年11月24日に発見された、比較的新しいワーム（ト口イの木馬を含む）が、現在猛威を奮っております。

以下、シマンテック社から一部引用
http://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html

>>感染被害の報告件数が増加したことから、2001年11月26日、
>>このワームの危険度を「3」から「4」に変更しました。

うちのサイトに訪れてくれている人で、感染した人が多いように見受けられます。　『当サイトが感染源ではありません。誰からか受信したメールで感染してしまった人が、うちのサイト訪問者にいるという意味です。』

>>W32.Badtrans.B@mm は、自分自身を数種類のファイル名の
>>うちいずれかのファイル名をつけた添付ファイルとして電子メ
>>ールで勝手に送りつけるMAPIワームです。
>>このワームはまた、キー操作のログを生成するバックドア型
>>ト口イの木馬プログラムを投下します。

バックドア型ト口イの木馬...感染したコンピューターに、ある秘匿な入り口を作り、プログラムを通じて自由にデータのやり取りをするものです。たとえばクレジットカードの暗証番号や、プロバイダのIDやパスワードなど。

>>種別: ワーム
>>感染サイズ: 29,020 バイト
>>対応日: 01/11/24
>>被害状況:高　ダメージ:低　感染力:高

バックドア型ト口イが入り込んだら、精神的・プライバシー的ダメージ等は、かなり大きいと思いますが...
ここで言われているダメージとは、コンピューターに対するダメージということで、精神的・プライバシー的に対してのダメージのことではないようです。

被害状況
>>感染台数: 1000以上
>>報告件数: 3-9
>>地域感染度: 低
>>対処レベル: 高
>>駆除: 容易

発病症状:
>>大量メール送信: MAPI コマンドを使って電子メールを勝手に
>>送信する。
>>不正アクセス: キー操作のログを作成するト口イの木馬をイン
>>ストールする。

キー操作とは、あなたがキーボードで打った文字がそのままログとして誰かに送信されてしまうということです。
このト口イをもう少し詳しく記載すると...
>>001 すべてのウィンドウ内のテキストをログに記録する
>>002 キーログを暗号化する
>>004 ログファイルをワームファイルに含まれているアドレスリス
>>トの1つに送信する
>>008 キャッシュされているパスワードを送信する
>>010 特定のタイミングでシャットダウンする
>>020 レジストリ名（またはkernel32）と同じ名前をコピーに使用
>>　　　　する
>>040 kernel32.exe をコピー名として使用する
>>080 現在のファイル名をコピーのパスとして使用（100チェックを
>>　　　　スキップ）
>>100 自身を%system% にコピー(または%windows%)

>>備考： %Windows%および%System%の部分は上記とは異なる
>>可能性があります。
>>このワームは、\Windowsフォルダ（通常はC:\Windowsまたは
>>C:Winnt)または\Systemフォルダ（通常はC:\Windows\Syste
>>mまたはC:Winnt\System32）を探し出し、その場所に自分自
>>身をコピーします。

さらに記憶したログをそのままテキストデータで送信するだけでなく、ご丁寧にも暗号化してから送信するということです。

>>感染先のコンピュータ上にRASサポートが存在する場合、
>>このワームはRAS接続がオン状態になるまで待機し、接続が
>>行われると、33%の確率でPersonal およびInternet Explorer
>>のCacheフォルダ内にある.ht および .aspファイルに保存され
>>ているメールアドレスを探し、発見したメールアドレスすべて
>>に電子メールを送りつけます。
>>添付ファイル名には、次のいずれかが使用されます。
>>Pics
>>images
>>README
>>New_Napster_Site
>>news_doc
>>HAMSTER
>>YOU_are_FAT!
>>stuff
>>SETUP
>>Card
>>Me_nude
>>Sorry_about_yesterday
>>info
>>docs
>>Humor
>>fun

つまり、上記ファイル名の添付ファイルが送られてきたら可能性大だということですが、これ以外にもあるかもしれませんので気をつけてください。
添付してきたファイルの名前は、開いてみたくなるような名前で送られてきます。
特に、CardやMe_nudeなどは、これからクリスマス。お正月シーズンなので、誰からかのカードかな？とか、ヌードの写真だ！などというスケベ心を持って開いてしまう可能性大ですね。

また...
>>このワームは常にMAPIを使って未読メールを探し、その差出人に
>>返信メールを送信します。
ともあります。　

>>メール本文は、不適切なMIMEヘッダーによるセキュリテiホールを
>>利用して添付ファイルがMicrosoft Outlook内で自動的に実行され
>>てしまうように設計されたHTML形式になっています。このセキュリ
>>テiホールに関する詳細は、下記ページをご覧ください。
http://microsoft.com/japan/technet/security/current.asp?url=/japan/technet/
security/frame_prekb.asp?sec_cd=MS01-020

>>このワームは、同じ人にワームメールを重複して送信しない
>>ようにするために、送信を完了したメールアドレスを
>>%System%\Protocol.dllファイル
>>に記録します。
つまり、感染したコンピューターは、過去に受信したメールの中から未読を探し、Re:（返信）として分身を送りつける他、InternetExplorerのキャッシュなどに残っているアドレスなどに向けて、分身を送りつける。
更に、一度送った相手に対して複数回送らないように、送り先のアドレスを保存するという手の込んだやりくちです。

>>駆除:
>>W32.Badtrans.B@mmを駆除するには、次のうち、ご使用の
>>OSに適切な手順にしたがって作業してください。
>>駆除方法（概略）
>>Windows 95/98/Me
>>Windowsをセーフモードで再起動します。
>>Norton AntiVirusによるスキャンを実行し、
>>W32.Badtrans.B@mm
>>として検出されたファイルをすべて削除します。
>>レジストリに追加された値を削除します。
その他、具体的な駆除手順などについては、下記

情報関連のリンク先でお調べください。

・Aliz
このワームは、SMTPを利用した大量メール送信ワームです。
MIMEヘッダーに関するセキュリティホールを利用して、ユーザがメッセージを読んだりプレビューしたりするだけで添付ファイルが自動的に実行されるように設計されています。このセキュリティホールに関する情報と修正プログラムについては、下記ページをご覧ください。
ここ

以下はシマンテック社からの引用
>>メール件名: ランダム
>>添付ファイル: whatever.exe
>> (受信メールの添付ファイルとして表示されない可能性がある。）
>>添付ファイルのサイズ: 4,096 バイト

万が一予期せぬ添付ファイルが届いた場合には注意してください。
また、おそらくはhtml形式で送られてきた受信メールに不信なものがある場合、プレビューなどをすると感染してしまう危険性が高いですので、この場合もご注意ください。

マイクロソフト社製品のメーラーで、OutlookやOutlookExpressなどを使用している方は、デフォルト（初めて使用した時から勝手に）でhtml形式でのメール送信という設定になっております。
html形式のメールは、昔から嫌われていたのに付け加え、最近ではAlizやNimdaのようにhtml形式のメールをプレビューしただけで感染してしまう可能性の高いものが増えてきました。
できるだけtxt（テキスト）形式のメールを使用するように努めてください。
なお、html形式でメールを作成、あるいは送信するように設定しても、あなた自身がこのようなワームに感染しないようになるものではないことを付け加えておきます。

最後に、何度も言いますが、感染して被害を受けると知らないうちにあなた自身が知り合いその他にを送ってしまいます。
これによってあなたも加害者になってしまうことをお忘れなく！

なお、

に関する質問等は、基本的に受け付けておりませんので、あらかじめご了承ください。
【

に関する参考サイト】
情報処理振興事業協会
シマンテック社
トレンドマイクロ社