McAfee for Small Businesses

- 2004年3月25日　太平洋標準時間 15：16　更新情報 -

・W32/Snapper@MMは以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。 http://www.eweek.com/article2/0,1759,1554603,00.asp

・W32/Snapper@MMはターゲットマシンのWindows アドレス帳から抽出された電子メールアドレスに繁殖するように作成されたワームです。

• W32/Snapper@MMはW32/Bagle.q@MMの繁殖メカニズムに類似しており、電子メールの添付ファイルでは繁殖しません。その代わり、見かけが空白の電子メールメッセージが送信されます。HTML形式のメッセージには、Microsoft Security Bulletin MS03-032（オブジェクトタグの脆弱性）を利用するコードが含まれています。接続に成功すると、リモートファイルであるBANNER.HTMがダウンロードされます。
• BANNER.HTMには、別のリモートファイル（HTMLHELP.CGI）をターゲットマシンにダウンロードするスクリプトが含まれています。
• 実際に、HTMLHELP.CGIはHTMLアプリケーションであり、ターゲットマシン上にWin32 DLL （IELOAD.DLL）をドロップ（作成）して読み込むスクリプトが含まれます。このスクリプトはIELOAD.DLLを %WinDir%にドロップ（作成）します。

・注：この情報掲載時点では、HTMLHELP.CGIファイルはリモートサーバで動作しませんでした。このため、W32/Snapper@MMは繁殖できません。

・IELOAD.DLLがターゲットマシンに読み込まれると、Browser Helper Object （BHO）がランダムなCLSID番号を使用してインストールされます。以下のプロセスが実行中の場合、強制終了します。

• NAVAPW32.EXE
• CCAPP.EXE
• OUTPOST.EXE
• SPIDERML.EXE

・IELOAD.DLLは、送信メッセージを作成するために自身のSMTPエンジンを内蔵しています。これらのメッセージはターゲットマシンのWindowsアドレス帳から抽出された宛先に送信されます。この電子メールのメッセージには、上記のBANNER.HTMファイルを読み込むHTMLが含まれています。電子メールは以下のように作成されます。

送信者：（偽造されています）
件名： Re:
メッセージ本文：（見かけが空白です）