McAfee for Small Businesses

--2004年8月27日更新情報

最近、Exploit-ObjectDataによるメールの大量送信が行われています。メッセージは以下の様になります。

Subject: 1
または Subject: 2

Attachment: 1.gif
or Attachment: 2.gif

・この添付ファイルは、数字で構成された８バイトのasciiファイルで、正常なGIFファイルではなく、また感染性もありません。

・このメッセージ本文は通常空ですが、現在アクセスできないリモートサイトからページをロードするHTMLの実行コードが含まれます。リモートサイトのコードには、メッセージを送付する要因となるマルウェアが組み込まれています。

--2004年4月22日更新情報--

このエクスプロイトが利用するメッセージは迷惑メールを送りつけることで知られています。このメッセージは4353ウイルス定義ファイルでExploit-ObjectDataとして検出されます。

件名: YOU WON A FREE VACATION!!!!

メッセージの中に、スクリプトを起動する隠れたリンクがあり、このスクリプトは最新のウイルス定義ファイルでVBS/Inorとして検出されます。

スクリプト:

• MSTASK.EXEをダウンロード - 現行のウイルス定義ファイルでMultidropper- KGとして検出される
• CドライブのルートにX.EXEをドロップ　- 現行のウイルス定義ファイルでProxy-Hino.dldr として検出される

W32/Netskyの新しい亜種は、このエクスプロイトを繁殖に利用することがわかりました。この亜種の検出は4352ウイルス定義ファイルに含まれています。

この検出は、Microsoft Security Bulletin MS03-032 または Microsoft Security Bulletin MS03-040の脆弱性を利用しようとするHTMLファイルをカバーしています。 この脆弱性は深刻なものであると考えられており、感染したウェブサイトを見ることにより、悪意のあるコードを実行させることを可能にします。

このエクスプロイトが検出されることが、必ずしもすべての悪意のあるコードが実行されたということではなく、単にエクスプロイトコードを含むHTMLファイルが発見されたということです。反対に、悪意のあるコードが起動すると様々なシステム修正がなされる可能性があります。

脆弱性のあるシステムはマイクロソフトで配布されているパッチファイルをあてることを必要があります。これにより、エクスプロイトコードの影響を受けることはなくなりますが、このエクスプロイトを利用しようとするファイルの検出は起こる可能性があります。