sec_trusty

●トップページ
●サイトマップ
　●information
● メールはこちら

　会社概要
株式会社トラスティーのご紹介です。是非一度お読みください。

　不動産事業
不動産事業部のご紹介です。賃貸・売買等、お気軽にお問い合わせください。

　断熱工事事業
当社が行っている断熱工事のご紹介です。

　まちがいだらけのバッシング
まちがいだらけのバッシングシリーズの裏話や釣りに関する楽しい情報が満載です。

　村田基ファンクラブ
W.L.C.のイベント報告やグッズ情報などを紹介！

　2099 COMPANY
釣れない君プロデュース！オリジナルウェア情報や、コラム「釣れない君の週間毎日」、みんなの写真館など。

　T&M音楽教室
ピアノ、エレクトーン、ドラム教室のご案内です。

　ゴルフ工房JIM
当社オリジナルゴルフクラブD1の紹介です

　その他の事業
当社のゴルフクラブプロジェクト『ゴルフ工房JIM』や、情報通信事業等に関するご紹介です。

　リンク
楽しい&有意義なリンク集です。是非ご利用ください。

2004.1.9--情報公開--（緊急）　対象：Windows 95, 98, ME, NT, 2000, XPユーザー他
【差出人がマイクロソフト社となっているメールにて不審な実行ファイル(*.exe）が届く。】
→Trojan.Xombeであることが判明。

Symantec Security Responseに調査依頼をしたところ、この実行ファイルは、「Trojan.Xombe」というトロイの木馬であることが判明しました。
なお、2004年1月9日現在、シマンテック社のウイルス辞典及び、Google検索等では「Trojan.Xombe」というトロイの木馬情報は確認できませんでしたので、このトロイの木馬がどのような性格であるかは、わかっておりません。

その後の調べで、以下の件が明らかになりました。

発見日：発見日: 2004/01/09　00:00(米国時間)
ウィルスサイズ：4,096 Bytes

特　徴...: Visual C++で作成されていて、添付ファイル付スパムメールによって広がるようです。　また、国別感染被害で見ると、現在一番多いのが北朝鮮とのことです。
感染すると...: 添付されていた実行ファイルを実行すると、BKDR XONBE.Aというプログラムをダウンロードしようと試みるようです。
なお、レジストリ改変やシステム改変は行わないようですが、MSVCHOST.EXEファイルをダウンロードし実行するようです。
侵入方法...: スパムメールを媒介とし、メール送信やネットワーク上での感染はないようです。
駆除方法...: ウィルススキャンによって検出されたウィルスファイルは全て削除することで対応できるようです。
なお、Symantec Security Responseからの回答メールには、駆除実行フィルが添付されておりました。
他のファイルへの感染活動は行わないようですが、感染してしまった場合は、駆除実行ファイルを入手して駆除すると良いかもしれません。
情報元...: Symantec Security Responseからの回答メール及び、トレンドマイクロ・ウィルスデータベース/TROJ_XOMBE.Aより。

最後に... 当方に送信された時刻が、Fri, 09 Jan 2004 07:09:55となっておりましたので、今回のTrojan.Xombeは、アメリカで発見されてからおよそ7時間後に、受信したことになります。
このように、ウィルス等の広がりには国境はなく、時空の影響も受けにくいことから、ウィルス検索ソフトに頼るばかりではなく、怪しいファイルは疑うという習慣も必要であるということの良い例ではないでしょうか？

***以下は第一報のログ及び添付されてきたメールのログ情報です。
『マイクロソフト社からのセキュリティーアップデートを偽装したものと思われます。』 （以前お知らせしたものとは異なる可能性があります。）

　本日、当社の一部のメールアドレス宛に、下記の内容で不審な実行ファイルが送られてきました。　添付されていた実行ファイルをウィルススキャンしましたが、検知されず、また、メールサーバー側のウィルスチェックにも検知されておりませんでしたので、未知のウィルスや亜種、ジョークソフト等の可能性もありますので、報告しておきます。

　なお、今回のように、マイクロソフトからのセキュリティー情報と偽装して、送られてきた実行ファイルにより感染する件については、以前お知らせした、「マイクロソフトを偽装した極悪ワーム」編にて詳しく説明しておりますので、ご参考になさってください。

　今回送られてきた不審なメールのヘッダ情報は以下の通りです。

差出人： windowsupdate@microsoft.com

宛　先： *****@trusty2000.co.jp（*印は伏せ字）

件　名： Windows XP Service Pack 1 (Express) - Critical Update.

添付ファイル名：winxp_sp1.exe

　本　文： Window Update has determined that you are running a beta version of Windows XP Service Pack 1 (SP1). To help improve the stability of your computer, Microsoft recommends that you remove the beta version of Windows XP SP1 and re-install Windows XP SP1. If you cannot remove the beta version, you should still reinstall Windows XP SP1.
Windows XP SP1 provides the latest security, reliability, and performance updates to the Windows XP family of operating systems. Windows XP SP1 is designed to ensure Windows XP platform compatibility with newly released software and hardware, and includes updates to resolve issues discovered by customers or by Microsoft's internal testing team.
The maximum download size is approximately 3 MB, however the size of the download and time required may be less for computers that have had updates previously installed.
To minimize the download time needed for installation, setup will only download those files which are required to bring your computer up to date. Windows XP SP1 includes Internet Explorer 6 SP1. Anti-virus software programs may interfere with the installation of Windows XP SP1. Please disable anti-virus software while installing the service pack.
Just run the file winxp_sp1.exe in attach and make sure to restart your PC after installation will be completed.
ｿ2004 Microsoft Corporation. All rights reserved. Terms of Use Privacy Statement
要約...あなたが使用しているWindowsXPのSP1（サービスパック1）はベータ版ですので、安定性を得るために、添付されている最新版を使用してください...

簡単に調べてみましたが、元の差出人アドレスは*****@msn.comとなっており、やはり差出人は偽装されておりました。
また、フィラデルフィア、ワシントンDCからセントルイスやサンフランシスコを経由して届いておりました。

マイクロソフトでは、このようにメールで実行ファイルなどを送ってくることはないと思われます。
今回のように、ウィルス検知しにくい新種や亜種、そして、ウィルス対策ソフトの対応エンジン完成前に広がることもありますので、不審なメールやファイル等は開かないよう、日頃から注意しておくことが大切だと思います。

なお、に関する質問等は、基本的に受け付けておりませんので、あらかじめご了承ください。
【に関する参考サイト】
情報処理振興事業協会
 シマンテック社
 トレンドマイクロ社