W32/VBMania@mmについて
カテゴリー ウイルス情報 種別 -
OS - 問題番号 VR10091001

概要:

マカフィーでは複数のお客様よりマルウェアのリンクが含まれたスパムメールを大量に受信したとの報告を受けました。 弊社にて解析した結果、このスパムが大量メール送信型ワーム(W32/VBMania@mm)であることを特定しました。

これまでのところ、スパムの大量送信のためにメールシステムに負荷がかかる症状が報告されていてます。 このスパムには静的なスタティックな.SCRファイルのURL)が含まれていているため、弊社ではゲートウェイ, メール サーバまたはエンドポイントクライアントシステム等で.SCRファイルのブロックすることを推奨します。

注意:

このURL派表面上、PDFファイルへのリンクように偽装されています。

マカフィー製品ではコンテンツフィルタリングやアルテミス検出などの方法でこの脅威を防御できます。

本FAQでは以下について説明します:

  • コンテンツフィルタを使ったMalwareへのリンクが含まれたスパム(大量送信型ワーム)をブロックする方法
  • Extra.Datを使ったMalwareへのリンクが含まれたメールをブロックする方法

コンテンツフィルタでのブロック方法(EWSユーザ)

電子メールコンテンツフィルタ作成手順:

  1. 電子メール > 電子メールポリシー > ディクショナリを開きます。
  2. ディクショナリの追加をクリックし、以下の要件で OK をクリックします。
    • タイプ: コンテンツフィルタ
    • 名前: (適切な名前を指定下さい)
    • 説明: (適切な名前を指定下さい)
  3. 電子メールディクショナリリストから、新しく作成したディクショナリをクリックします。
  4. 選択したディクショナリの用語のリストで、条件の追加をクリックします。
    • タイプ: 正規表現
    • 正規表現: ^http:\/\/.*\.scr$
    • 適用: *電子メールメッセージ > 本文
    • *HTML コンテンツ > URL
  5. 用語の詳細で、 OK をクリックします。
  6. 電子メール > 電子メールポリシー > スキャンポリシー > SMTP を開きます。
  7. ポリシーのコンテンツスキャンをクリックします。
  8. 『コンテンツスキャンを有効にする』で、『はい』を選択します。
  9. 新しいコンテンツスキャンルールを作成しますをクリックします。
  10. ディクショナリリストから、新しく作成したディクショナリをチェックし、 OK をクリックします。
  11. トリガされた場合の動作をクリックします。
  12. コンテンツスキャンルールがトリガされた場合の選択肢で、コンテンツをアラート(変更)で置換を選びます。
  13. 次も実行の選択肢は、必要に応じて適宜設定下さい。
  14. OK を順次クリックします。
  15. 設定を適用します。

URL フィルタ作成手順

  1. Web > Web ポリシー > スキャンポリシー > HTTP > を開きます。
  2. 外部への web アクセスに該当するポリシーのプライマリ URL フィルタリングをクリックします。
  3. 拒否する URL (正規表現) をクリックし、以下の正規表現を追記します:
    • ^http:\/\/.*\.scr$
  4. OK をクリックします。

コンテンツフィルタでのブロック方法(GSEユーザ)

コンテンツルール作成

  1. スタート>プログラム>McAfee>GroupShield for Exchange>GroupShield for Exchangeをクリック
  2. 左ペインからポリシーマネージャをクリック
  3. 共有リソース→フィルタルールをクリック
  4. 新規カテゴリをクリック
  5. 任意のカテゴリ名を記入し、OKをクリック
  6. 上記で作成したカテゴリ名(コンテンツスキャナルール)の新規作成をクリック
  7. ルール名を入力
  8. “このルールをこのカテゴリのルールグループへ追加します。”へチェックマークを入れる
  9. 下記のキーワードを”単語または語句”へhttp://*.scrと追記
  10. “ワイルドカードを使用する”へチェックマークを入れる
  11. ファイル形式をクリック
  12. “すべて”のチェックマークを外す
  13. ファイルカテゴリから電子メールメッセージ>Bodyをクリックして保存
  14. 新規条件を再度クリックし、9.から12.の作業を繰り返した後に、HTMLコンテンツ→URLを選択してクリック
  15. 適用ボタンをクリック

マスタポリシーへのコンテンツ追加

  1. ポリシーマネージャ>オンアクセススキャン>マスタポリシーをクリック
  2. コンテンツスキャンをクリック
  3. アクティブ化の”有効にする”にチェックマークを入れて、オプションを選択し、コンテンツスキャナルールと関連する アクションより、ルールの追加をクリック
  4. ルールグループの選択から上記で作成したコンテンツグループおよびルール名をクリック後、任意のブロック アクションを指定して保存
  5. 適用ボタンを押す

コンテンツフィルタでのブロック方法(GSDユーザ)

  1. [ポリシーマネージャ]-[外部メール/内部メール]-[マスターポリシー]を選択
  2. [ファイルフィルタリング]を選択し「ファイルフィルタリングルールと関連するアクション」プルダウンメニューより 「<新しいルールの作成...>」を選択
  3. 「ルール名:」を入力 例)拡張子フィルタ
  4. 「ファイル名フィルタリング:」のテキストボックスに【*.scr】と入力し「追加」テキストリンクをクリック
  5. 「保存」ボタンをクリック
  6. 「ファイルフィルタリングルールと関連するアクション」に指定したルール名について「変更」テキストリンクをクリック
  7. 「ファイルフィルタリングルール"拡張子フィルタ"がトリガされたとき」にて「次のアクションを実行する:」プルダウン メニューより「アイテムをアラートに置き換える」を選択し、「次も:」にて「ログ」にチェックを入れる(※必要なものに チェックを入れていただいて結構です)
  8. 「保存」ボタンをクリック
  9. 「適用」ボタンをクリック
  10. Extra.Datの適用方法

    VE07062001 VirusScan Enterprise 8.5/8.7 でのExtra.dat ファイルの手動適用方法

    TP510010809 Total Protection ServiceでのExtra.dat ファイルの手動適用方法

    KB60712 How to apply an extra.DAT to McAfee GroupShield 7.x for Microsoft Exchange

    KB52977 How to manually check-in and deploy an EXTRA.DAT through ePolicy Orchestrator 4.0

    KB67602 How to manually check in and deploy an EXTRA.DAT through ePolicy Orchestrator 4.5

    PD20870 Access Protection in McAfee VirusScan Enterprise and Host Intrusion Prevention

    掲載日 2010/09/10

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間