ウイルス情報
新種ウイルスに関する情報
- 「W32/Netsky」ウイルスの亜種(Netsky.Q)
感染すると、Windows ディレクトリに zipo0.txt、zipo1.txt、zipo2.txt、zipo3.txt、zippedbase64.tmp、base64.tmp、sysmonxp.exe、firewalllogger.txt をコピー。さらに、レジストリファイルを変更し、Windows の起動時に必ずウイルスが実行されるように設定する。
また、メールの添付ファイルを開いたとき、メッセージを表示することがある。
○ウイルス活動:
感染したコンピュータ内からメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信する。
○メールの件名:
添付ファイル名は次のようになり、差出人アドレスは詐称される。
・件名: 以下のいずれかひとつ
* Mail Delivery System (<受取人メールアドレス>)
* Failure (<受取人メールアドレス>)
* Delivered Message (<受取人メールアドレス>)
* Deliver Mail (<受取人メールアドレス>)
* Delivery Error (<受取人メールアドレス>)
例: Delivery Error (virus-test@ipa.go.jp)
・添付ファイル名:
* { message、data、mail、msg } + { ランダムな数字、なし } + { .pif , .zip }
例: date7386.pif 、 message19392.zip など
DoS攻撃:
システム日付が 2004年4月8日〜11日の場合、以下のサイトに対し DoS 攻撃(サービス妨害攻撃)を行う。
* www.edonkey2000.com
* www.kazaa.com
* www.emule-project.net
* www.cracks.am
* www.cracks.st
対応方法:添付ファイルを開くことなく、当該メールをそのまま削除すること。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認する。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」する。
○修復方法:
感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意してください。また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。
○修復ツール提供サイト
・トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
・日本ネットワークアソシエイツ:
http://www.nai.com/japan/security/stinger.asp
・シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky@mm.removal.tool.html
IPAセキュリティセンターウイルス対策記事より
- 圧縮ファイルに潜むウィルス BARGLE (2003.8.)
これらのウィルスは、ウィルス自身がZIP形式の圧縮ファイルとなっており、
その圧縮ファイルにはパスワードがかけられています。
○ウイルス名:W32.Bagle.g@MM(バグル)
○ウイルス活動:
ウイルスタイプ: ワーム 。破壊活動の有無: なし
この為、通常のウィルス対策ソフトでは検出が出来ず、ZIPファイルを解凍すると、ウィルスが活動をはじめます。
感染メールの例が下記URLに有りますので、くれぐれもこのようなメール、添付ファイルは開かないようにご注意下さい。
感染メールの例
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.G
対応パターンファイル: 789 (1.789.00) 対応検索エンジン: 6.5
危険度: 低 、感染報告: 低 。ダメージ度: 中、感染力: 中
○特 徴:
「トロイの木馬」型不正プログラムであり、「WORM_BAGLE.F」のコード違いの亜種です。活動内容は「WORM_BAGLE.F」に同一ですが、ワームメールの添付ファイルは必ずパスワード付きZIPファイルになります。
ワームの送信する電子メールの内容はランダムな候補から選択されるため不定です。添付ファイルの拡張子はZIPになります。 1)ワームメールの添付ファイルは必ずパスワード付きZIPファイルになります。そのため、メールの本文末にパスワードを示す、以下のいずれかの行が追加されます:
・password for archive: [number]
・pass: [number]
・password: [number]
・archive password: [number]
- 急増する Bugbear ウィルス(2003.8.)
○ウイルス名:W32.Bugbear.B@mm
このワームは、「不適切な MIME ヘッダーが原因で InternetExplorer が電子メールの添付
ファイルを実行する」 という脆弱性を利用し、メールを読んだりプレビューするだけで
添付されているワームが自動的に実行されるようにしています。
○ウイルス活動:
このワームはネットワーク資源の種類を正しく処理しないため、結果的に共有プリンタの資
源を溢れさせ、無意味なデータが印刷されたり、プリンタが正常に動作しなくなるおそれが
あります。
○詳細情報:http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear.b@mm.html
情報源:アサマ インターネット:上田エレクトロニクス株式会社 ITグループ
情報提供者: 松原邦彦
- マイクロソフト社 Internet Explorerの修正プログラム
マイクロソフト社Internet Explorerの累積的な修正プログラムが公開されました。
深刻度が最高の「緊急」に分類されている新たな脆弱性2点の修正が含まれています。
Internet Explorerにて閲覧している方は修正プログラムの適用をお勧めします。
脆弱性を有するソフトウェア
Microsoft Internet Explorer 5.01/Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6
Microsoft Internet Explorer 6 for Windows Server 2003
関連サイト
http://www.microsoft.com/japan/technet/security/bulletin/MS03-020.asp
情報源:アサマ インターネット:上田エレクトロニクス株式会社 ITグループ
情報提供者:C.I.L. 松原邦彦
- 悪質ウイルス Klez (2003.5.24)
○ウイルス名: W32/Klez.e@MM
5月初旬から届き始めた。感染すると、パソコン上にあるメールアドレスをすべて利用する。
○詳細情報http://www.nai.com/japan/virusinfo/viruscartoon.asp?ViruGazoMokujiNo=2 ウイルス検知ソフト会社日本ネットワークアソシエイツ
○情報源:2003.5.24 日経新聞NIKKEIプラス1(10s) より
- 急増する Fizzer ウィルス(2003.5.15)
○ウイルス名: W32.HLLW.Fizzer@mm
バックドア機能も備えた大量メール送信ワーム。ネットワーク上のファイル共有システムを介しても感染拡大を試みる。また、一部のウイルス対策プログラムを停止させようとする。
○対応方法 : 予期せぬメールが届いた場合には添付ファイルを絶対に開かないようする。
○詳細情報:http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.fizzer@mm.html
○情報源:www.asama.ne.jp
- 新種ワーム「Deloder」(2003.3.13)
Windows 2000/XPマシンに感染し、簡単なパスワードの設定されているマシンやパスワードの設定されていないマシンへの進入を試みる。
○対応方法 : Windows XP Home Editionにおいては,デフォルトではAdministratorのパスワードは設定されていないため、ブロードバンドによる常時接続環境の場合は早急に対策を行うこと。
○詳細情報:日経IT Proニュース
シマンテック
トレンドマイクロ
マイクロソフト:Windows XP で管理用共有を作成する方法および無効にする方法
○情報源:www.asama.ne.jp、 米CERT/CC
- レジストリの改変をするウイルス BRAID (2002.11.2)
○ウイルス名: PE_BRID.A (ブライド)
○対応パターンファイル:375 以降
○感染方法&ウイルス活動:ウイルスが実行されると、デスクトップ上に「HELP.EML」ファイルを作成.。このファイル内には、感染マシンの以下の情報が記載されている。
・OS の種類、・ProductID、・ProductKey
このファイルを開いただけで感染する可能性あり。またレジストリの改変や、特定の拡張子(*.exe)を持つファイルの上書きを行い、次回のパソコン起動時からウイルスが自動的に起動されるようになる。このため、ウイルスの削除には、セーフモードで起動した上での手動削除が必要。
ウイルスの詳細および手動削除手順については、下記のURLを参照のこと。
○詳細情報:http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_BRID.A
- 電子カード送信ソフトを装うウイルスメール FRENDGRT (2002.11.13)
○ウイルス名: WORM_FRIENDGRT.B (フレンドジーアールティー)
○対応パターンファイル:380 以降
○感染方法&ウイルス活動:ワームに分類される不正プログラム。Bは2002年10月24日前後に登場したAの亜種。「WORM_FRIENDGRT.A」同様に電子カード送信ソフトを装い、Microsoft Outlookのコンタクトリストにある全ての宛先にワームがダウンロードできるURLを含んだメールを送信する。通常のワームとは異なり、メールには添付ファイルはなく、メール本文中のURLからワームプログラムがインストールされる手法をとっている。
ワームが送信するメールの内容は以下の通り:
件名:<受信者名> you have an E-Card from <送信者名>
本文:Greetings!
has sent you an E-Card -- a virtual postcard from FriendGreetings.com.
You can pickup your E-Card at the FriendGreetings.com by clicking on
the link below.
○ウイルス名: WORM_FRIENDGRT.A (フレンドジーアールティー)
メールに記述のURLを訪れるとプログラムをダウンロードするようにすすめる内容が表示される。
○対応パターンファイル:371 以降
○感染方法&ウイルス活動:
メールで広まる。以下の内容のメールが送られてくる。
件名: <宛先> you have an E-Card from <送信者名>
本文: Greetings! で始まり、記述されているURLを訪れてメッセージを見てください、という内容。
------------------------------------------------------------
本文中のURLリンクをクリックすると、プログラムのインストールに同意するように促すメッセージボックスが表示され、同意すると、「FriendGreetings」のアプリケーションをインストールプログラムがダウンロードされる。
インストールに成功するとユーザライセンスの同意画面が2つ表示される。2つ目のライセンス同意画面は、Microsoft Outlookにあるすべての宛先にこのプログラムのダウンロードをすすめる内容のメールを送信するか確認を行う。同意すると、同様のメールがOutlookにあるすべての宛先に送信される。
○詳細情報:http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRIENDGRT.A
- VisualBasicスクリプトで記述されたワーム ROKOL (2002.9.1)
○ウイルス名: VBS_ROKOL.A」(ロコル)
実行にはWindowsスクリプティングホスト(WSH)がインストールされている必要がある。WSHはWindows 8/2000以降では標準でインストールされている。通常Webページに含まれており、ユーザが該当のWebを閲覧した場合に実行される。感染すると、Microsoft Outlookのアドレス帳に載っている宛先全員にメールを送信する。
メールの件名次のとおり。
件名:"I feel sick today!!!
本文: I am ORLOK.
また、Internet Explorerのホームページを変更し、変更したページからMANGE.COMというファイルをダウンロードする。ファイルの内容はハッカーの手によって修正を加えることが可能。MANGE.COMはルートディレクトリにある拡張子が.VBSと.VBEのファイルをすべて上書き保存する。さらにノートパッドを起動し続け、マシンのハングアップや再起動を狙う。
○対応パターンファイル:トレンドマイクロ製品では336以降
○詳細情報:http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_ROKOL.A
- 新種ウイルス感染が拡大しています。
○ウイルス名: W32.Klez
○識別情報
送信されるメールの件名は、添付ファイルのファイル名に基づいて決まり、一定していない。添付ファイルのファイル名の末尾は.bat, .exe, .pif, .srcのどれかです。
○ウイルス活動:
Microsoft OutlookおよびOutlook Expressのアドレス帳のすべてのメールアドレスに自分自身を送付します。
また毎月6日に発病し、Cドライブのデータを破壊します。
○ W32.Klez 詳細情報:
・ウイルス情報(シマンテック)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.klez.gen%40mm.html
・ウイルス駆除ツール(シマンテック)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.klez.removal.tool.html
・情報処理振興事業協会セキュリティセンター(IPA/ISEC)
http://www.ipa.go.jp/security/topics/newvirus/klez.html
・ウイルス W32.klez.H 退治の記(特別のツールなしで退治する方法)
(2002.5.16)情報提供者: C.I.L.松原邦彦
- 件名に日本語が使われている新種ウイルス FBOUND (2002.3.16)
つい開いてしまいそうなタイトルで送られてくるため、感染者が続出している。
○ウイルス名: WORM_FBOUND.B(エフバウンドB)
危険度:中。 対応ウイルスパターンファイル:234以降(亜種対応は241以降)
○識別情報
次のような日本語Subjectがついているようです。
重要
Re:重要
重要なお知らせ
Re:重要なお知らせ
蛙
極秘
Re:極秘
資料
お久しぶりです
こんにちは
ウャR
○ウイルス活動:
メールの添付ファイル「PATCH.EXE」で広まる。
添付ファイルを実行すると、SMTPサーバの設定とWindowsアドレス帳ファイ
ルを調べ、情報を取得できた場合、Windowsアドレス帳から取得
したメールアドレス宛てに、下記のメールを送信する。
--------------------------------
件名:日本語の文字列(送信先が「.jp」ドメインの場合)またはImportantMessage(「.jp」ドメイン以外の場合)
本文: なし(空白)
添付ファイル名: PATCH.EXE
○予防法:
このウイルスは送信するメールの添付ファイル(PATCH.EXE)、本文(空白)
が決まっているので、該当のメールの添付ファイルを実行しないこと。
トレンドマイクロ製品を使っている場合は、本ウイルスに対しパターンファイル234以降、一部の亜種へは241以降で対応する。添付ファイル名が固定のため、「InterScan eManager」で該当のメールをブロックすることも有効。
○WORM_FBOUND.Bを検出したら:
検出したファイルを削除してください。1個のプログラムのため「ウイルス駆除」の処理は行えない。このウイルスはレジストリの改変などは行わない。
○WORM_FBOUND.B 詳細情報:
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
情報処理振興事業協会セキュリティセンター(IPA/ISEC)
http://www.ipa.go.jp/security/topics/newvirus/fbound.html
シマンテック社
http://www.symantec.com/region/jp/sarcj/data/w/w32.impo.gen@mm.html
情報源:システム管理者および会員からのメール
情報提供者: C.I.L. 松原邦彦
- 「.NET Framework」を使って感染するウイルス SHARPEI (2002.3.10)
.NET Frameworkがインストールされている環境でのみ活動を行う。
○ウイルス名:「WORM_SHARPEI.A」(シャーペイ)
○ウイルス活動:
メール送信プログラムと「.NET Framework」改変プログラムをインストールする。Microsoft Outlookを利用してアドレス帳にある宛先に以下の内容のメールを送信する。
--------------------------------
件名: Important: Windows update
本文: Hey, at work we are applying this update because it makes
Windows over 50% faster and more secure. I thought I should forward
it as you may like it.
--------------------------------
添付ファイル名: MS02-010.exe
(「MS02-010」は実在するマイクロソフト社のセキュリティ情報番号で、マイクロソフト社の修正プログラムを偽装している。)
○識別情報:
感染後の起動時に以下の内容のメッセージボックスを表示する。
--------------------------------
タイトル: Sharp
メッセージ本文: You're infected with Win32.HLLP.Sharp, written in
C#, by Gigabyte/Metaphase
--------------------------------
○WORM_SHARPEI.A 詳細情報:
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SHARPEI.A
情報源:会員からのメール
情報提供者: C.I.L. 松原邦彦
- マイクロソフト社のセキュリティアップデートプログラムと偽るウイルス GIBE (2002.3.10)
マイクロソフト社ではセキュリティ対策のためソフトの弱点を補修する修正プログラムを配布しているが、あたかもこの修正プログラムであるかのように似せてウイルスを潜ませる悪質なもの。
○ウイルス名: WORM_GIBE.A(ギベ)
危険度:低。 対応ウイルスパターンファイル:235 以降
○識別情報
添付ファイル名: q216309.exe
添付ファイルを実行すると以下のメッセージを表示する。
This will install Security Update.
Do you wish to continue ?
[yes] [no]
--------------------------------
(yes、noのどちらを選択してもプログラムは続行される)
○ウイルス活動:
[ワーム活動]
コンピュータ内に保存されているメールアドレス宛てに、下記のメールを送
信。表示名が設定されていたり、サブドメインがあるアドレスには送信できないもよう。
--------------------------------
差出人: Microsoft Corporation Security Center、[rdquest12@microsoft.com] または送信者のアドレス
宛先:Microsoft Customer または受信者のアドレス
件名: Check It Out - Microsoft Security Update など4種類から無作為に選択する。
本文: Microsoft Customer,this is the latest version of security updateで始まる長文。
--------------------------------
内容はセキュリティホールの説明と添付ファイルの使用方法など。
[ハッキング活動]
ハッキングを行うためのプログラムを作成する。コンピュータ内の任意の情報を収集し、自力で通信ポートを開き外部へ情報を送信する。
○予防対策:
不審な添付ファイルを実行しない。マイクロソフトの修正プログラムを装っているので十分注意。トレンドマイクロ製品では、本ウイルスに対しウイルスパターンファイル235以降で対応する。新たな亜種の発生も考えられるため、ウイルスパターンファイルを最新のものに更新すること。
○「WORM_GIBE.A」を検出したら:
1個のプログラムのため「ウイルス駆除」の処理は行えない。検出したファイルを削除する。すでにプログラムを実行し、システムの改変が行われた場合には、手動での修復が必要。下記詳細情報の手動削除手順に従ってください。
○ WORM_GIBE.A 詳細情報:
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_GIBE.A
情報源:システム管理者および会員からのメール
情報提供者: C.I.L. 松原邦彦
- 通称「ナビダ」ウイルス NAVIDAD (2002.2.8)
従来のパターンで検出できない亜種の流行が海外(アジア地域)で確認された。完全な対応のためにはパターン218以降を使用のこと。
○ウイルス名: WORM_NAVIDAD.A
危険度:中。 対応パターンファイル:218 以降
○ウイルス活動:
通常「NAVIDAD.EXE」のファイル名でメールに添付されてくる。このファ
イルを実行すると感染。タスクバーに青い目のアイコンを表示する。
Microsoft Outlookなど、WindowsのMAPIを使用するメールソフトの受信トレイ(INBOX)にあるメールに対して返信を送信する。ワームが送信するメールには「NAVIDAD.EXE」のファイル名でワームのコピーが添付されている。EXEファイルをワームに関連づけるため、すべてのEXEファイル実行時にワームが起動する。ワームファイルを単純に削除してしまうと、すべてのEXEファイルの起動ができなくなる。
○WORM_NAVIDAD.Aを検出したら:
検出したファイルを削除してください。1個のプログラムのため「ウイルス駆除」の処理は行えない。このウイルスはシステム改変などは行わない。
すでに「WORM_NAVIDAD.A」を実行してシステムが改変されてしまった場合は、システムの修復が必要。下記に修復ツールが用意されている。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=2288
○WORM_NAVIDAD.A 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NAVIDAD.A
情報源:システム管理者および会員からのメール
情報提供者: C.I.L. 松原邦彦
- 勝手にメールを送るウイルス MYPARTY(2002.2.3)
○ウイルス名: WORM_MYPARTY.A
危険度:中。 対応パターンファイル:210 以降
○ウイルス活動:
次のようなメールが送られる。
-----------------------------------
件名:new photos from my party!
本文:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
添付ファイル名:www.myparty.yahoo.com
----------------------------------
添付ファイルを実行すると、自身のコピーファイルを C:\Recycled フォル
ダに"REGCTRL.EXE"という名称で作成する。
そして、マシンのレジストリより標準で使用されている SMTP サーバの情報、
または「Windowsアドレス帳」ファイルよりメールアドレスの情報を取得し、
SMTPサーバを使用して、上記のメールを送信する。
○WORM_MYPARTY.Aを検出したら:
検出したファイルを削除する。1個のプログラムのため「ウイルス駆除」の処理は行えない。このウイルスはシステム改変などは行わないので、検出のファイルを削除すれば問題解決。
○WORM_MYPARTY.A 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYPARTY.A
情報源:システム管理者および会員からのメール
情報提供者 松原邦彦
- 危険なURLを記載したメールを送信するワーム COUPLE (2001.12.30)
○ウイルス名: WORM_COUPLE.A
危険度:低。 対応パターンファイル:208 以降
○ウイルス活動:
次のようなメールが送られてくる。
-----------------------------------
件名:Nice Couple
本文:They want to meet you. http://????.yahoo.com/youngwifedawn
※ ????の部は文字列をいろいろの変化する。
添付:無し
-----------------------------------
このURLを訪れるとWindows Write形式のファイル(「COUPLE4U.WRI」という名称が使われることが確認されている)がダウンロードされる。ただし、現在このURLは使用されていない。このファイルを開くと3つのアイコンが表示される。そのうちの1つがワーム。
ワームアイコンを実行すると、VBScript ファイル(ウイルス名VBS_COUPLE.A)およびウイルス対策ソフトを停止させるトロイの木馬「TROJ_OPTIXKILL.A」、バックドア型ハッキングツール「TROJ_SUB7.21B」が作成される。
「VBS_COUPLE.A」は、MAPIとMicrosoft Outlookからメールアドレス等の情報を取得し、上記のメールを送信する。送信されたメールは、送信後に削
除される。
○WORM_COUPLE.A 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_COUPLE.A
TROJ_OPTIXKILL.A 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_OPTIXKILL.A
TROJ_SUB7.21B 詳細情報
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SUB7.21B
情報源:システム管理者および会員からのメール
情報提供者 松原邦彦
- 破壊活動を行う別ウイルスをインストールする KLEZ (2001.12.30)
Internet Explorerのセキュリティホールを悪用し感染を広める「クレズ」
に新しい亜種が発見された。基本的な活動はオリジナルのWORM_KLEZ.Aと同じ。
e-mailと共有ドライブへのコピーで増殖するとともに、破壊活動を行う別プ
ログラム(ウイルス名「PE_ELKERN.B」)をインストールする。また複数のウイルス対策ソフトのプロセスをチェックし停止させる悪質なもの。
○ウイルス名: WORM_KLEZ.E
危険度:中。
○ウイルス活動:
[ウイルス対策ソフトの停止]
複数のウイルス対策ソフトのプロセスをチェックし停止させる。
[ネットワーク経由でのワーム活動]
8時間ごとにネットワーク上の共有ドライブ/フォルダに対し自身のコピーをばらまく。またローカルドライブから特定の拡張子(DOC、XLS、JPGなど複数)のファイルを見つけ、そのファイル名をすべて記録。そして、ネットワーク上で読み書きの権限のある共有フォルダを見つけると、記録したファイル名からランダムに選んだファイル名の最後に「.EXE」を加えたファイルを作成する。
例:aaa.jpg → aaa.jpg.exe
[e-mailでのワーム活動]
Windowsのアドレス帳ファイルから取得できたアドレスすべてにウイルス付
きのメールを送信する。メールはHTML形式。Internet Explorerにセキュリティホールがある場合、メールをプレビューしただけでウイルスが活動を始める。
[破壊活動]
別にインストールされる「PE_ELKERN.B」ウイルスにより、3月、9月の13日
に感染マシンから書き込みが行えるすべてのネットワークドライブ上のすべ
てのPE型実行プログラムファイルが破壊される。
○WORM_KLEZ.E 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_KLEZ.E
PE_ELKERN.B 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_ELKERN.B
情報源:システム管理者および会員からのメール
情報提供者: C.I.L. 松原邦彦
- マイクロソフト社からのお知らせを装ったウィルス GIGGER (2001.12.4)
ブラウザ上で動作する不正プログラム。危険度は低いが、突然に広まる可能性あり。
○ウイルス名: JS_GIGGER.A
危険度:低。 対応パターンファイル:200 以降。
プラットフォーム: Windows(ワーム活動はMicrosoft Outlook、mIRC)
○ウイルス活動:
JavaScriptを理解できるブラウザ上で動作。
Microsoft Outlookを利用して自身のコピーを頒布する。送信する内容は次のとおり。
----------------------------------
件名: Outlook Express Update
メール本文: MSNSofware Co.
----------------------------------
添付ファイル名: mmsn_offline.htm
チャットプログラム「mIRC」でも同じIRCチャンネルに参加しているユーザ全員にワームのコピーである"mmsn_offline.htm"ファイルを添付したメッセージを送信する。
Windows 9x/Meでワームを実行してしまうと、AUTOEXEC.BATが改変される。次回の起動のとき、Cドライブがフォーマットされてしまう。
JavaScriptで記述されており、通常はホームページなどHTML文書の中に記述されている。
○ワームを実行してしまったら:
Windowsのシステムエディタ(sysedit.exe)などを使って"AUTOEXEC.BAT"内から以下の記述を削除する。
Echo y| format c:
○JS_GIGGER.A 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_GIGGER.A
情報源:システム管理者および会員からのメール
- 「.NET Framework」を狙った初めてのウイルス PE_DONUT (2001.12.4)
新しいプログラミング言語である「C#」で開発されたプログラムに感染する
直接感染、上書感染、のファイル感染型ウイルス。
「C#」はマイクロソフト社が提唱する「Microsoft.NET」に対応したソフトウェアの開発プラットフォーム「.NET Framework」で提供される新しいプログラム言語。
このウイルスはWindows2000/XP上で活動。感染活動以外に特に悪質な破壊活動は行わない。
○ウイルス名: PE_DONUT.A
危険度:低。 対応パターンファイル:200 以降
プラットフォーム:Windows 2000/XP
○PE_DONUT.A 詳細情報:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_DONUT.A
情報源:システム管理者および会員からのメール
- ウィルス・デマメールが日本語訳されて出まわっている。(2001.12.4)
メールには、
「sulfnbk.exeというファイルはウィルスなので削除しなさい」
という記載がある。
しかし、sulfnbk.exeはもともとWindowsシステムに入っているファイルであり、
削除するとトラブルの原因となる可能性が高く注意が必要。
もしデマメールを受け取った場合にはメール自体を削除してください。
他の人に転送したりしないこと。
- ウイルス BADTRANS (2001.12.4)
11月28日あたりから拡がりはじめた新種のウイルス。
○ウイルス名:「WORM_BADTRANS.B」、別名BADTRANS-B、または BADTRANS.B。
○感染対象:Microsoft Windows
○感染経路:Internet Explorerの4/4.01/5/5.01/5.01 SP1/5.5/5.5 SP1に存在するセキュリティホールを悪用し,電子メールに添付されたファイルを通じて感染する。メールをプレビューしただけで感染する。
○ウイルス動作:
メールに添付されたファイルを開くと、メールのアドレス帳などから無作為に選び、外部へ感染メールを自動送信。
○診断
メールの件名には「Re:」とだけ記されている場合が多い。
本文には何も記載されていない。
添付ファイル付きで、ファイル名に文書ファイルや音楽データまたは、圧縮データファイルを装ったウイルスが添付されている。
例えば .PIFや .SCRなどの修飾子をもつファイルなど。
○対策
(1)プレビュー機能のあるメールソフトの場合、自動的に添付ファイルの展開を行おうとしたら、「キャンセル」を選び、ただちに削除する。
プレビュー機能のないメールソフトの場合、そのままメールを削除する。
(2)MicrosoftのOutlook Expressの場合、デフォルトではメールを開かなくても、下に内容が表示されるようになっているので、この機能を外す。メニューバーの表示→レイアウトと進み、『プレビューウィンドウを表示する』のチェックを外して『OK』とする。これでダブルクリックしないと内容は表示されなくなる。
(3)Internet Explorerのメニューバーのヘルプ→バージョン情報で確認してみよう。セキュリティーホールのあるInternet Explorer(感染経路の項を参照)を使っている方は対策済みのInternet Explorer 6 または 5.01/5.5 SP2へバージョンアップする。このセキュリティーホールが修正されている。
(4)ウィルス駆除ソフトを持っていなくても、感染しているかどうかを下記のサイトでオンラインで調べる事ができる。無料。
http://www.trendmicro.co.jp/hcall/scan.htm
(5)汚染した場合はウイルスベンダー各社のホームページを参照のこと。駆除方法がある。
w32.badtrans.bウイルス情報(シマンテック)
WORM_BADTRANS.Bウイルス情報(トレンドマイクロ)
情報源:浅間インターネットシステム管理者および会員からのメール
情報提供者:C.I.L.松原邦彦(以上 '2001.12.6)
- ウイルス「SIRCAM(サーカム)」
7月の24日あたりに長野県下でかなり拡がった。信濃毎日新聞によると感染した電子メール約百件が、県庁のメールサーバーを通じて各課内の端末に届いていたという。また同新聞社内でも16件が発見されたという。
感染対象:Microsoft Windows
感染経路:電子メールに添付されたファイル
動作:メールに添付されて送られる。添付ファイルを開くと、メールのアドレス帳などから無作為に外部へ感染メールを自動送信。パソコン内でWordやExcelが保存したファイルを添付して送信してしまう。気がつくとサーバー上のメールスプールや使用しているメールの受信トレイなどが奇妙なファイルの寄せ集めで一杯になってしまう。サーカムは、独自の簡易メール転送プロトコル(SMTP)エンジンを使って電子メールを送信するらしい。十月十六日をもって、ハードディスク内のデータを削除してしまうとも言われる。
情報源:日本経済新聞 (2001.8.4)、信濃毎日新聞(2001.7.26)
http://www.shinmai.co.jp/news/2001/07/26/003.htm
情報提供者: C.I.L. 松原邦彦(以上 '2001.8.6)
- ウイルス「SIRCAM(サーカム)」の見分け方と対応処置
メールを受け取ったら次の点をチェックする。
受信時間:受信件数が少なくても、異常に長い。これはWordやExcel文書、時には画像データを添付してくること、かなり複雑なウイルスプログラムをそれらのファイル上に載せていることのため。このようなときウイルス付きのメールであることを疑うとよい。
件 名 : 電子メールの件名はランダムです。日本語対応の場合、どこかが文字化けをおこしている事が多い。
添付ファイル : あり 。大概2ファイル以上添付している。ファイル名も一定せず、ランダムな文字列を付加するらしく、一部文字化けしていることが多い。
本 文 : メッセージに次の文を含んでいる。電子メールの本文には、英語とスペイン語の2通りがある。
英語バージョン:
1行目: Hi! How are you?
最終行: See you later. Thanks
スペイン語バージョン:
1行目: Hola como estas ?
最終行: Nos vemos pronto, gracias.
これらの2つの文の間に文章が挿入されていることが多い。例えば
I sent you this file in order to have your advice.
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for など。
英語でない方の電子メールは、
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pedisteなど。
処置:添付されてきたファイルを実行することによってウイルスに感染するので不審なメールはすぐに削除する。メールを受信しても、添付ファイルを開かなければ感染しない。
情報源:http://dailynews.yahoo.co.jp/fc/computer/internet_viruses/
http://news.yahoo.co.jp/headlines/hwj/010727/cpt/15502300_wircpt008.html
情報提供者:C.I.L. 松原邦彦 (以上 2001.8.6)