|
新しいウイルスが報告されております!!(2004.03.04)
■2004.03.04
「W32/Netsky」は、「トロイの木馬型」のものであり、自身の複製をメールの添付ファイルとして拡散する活動を行います。
感染すると、自分自身を Windows ディレクトリに services.exe としてコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、メールの添付ファイルを開いたとき、偽のエラーメッセージを表示し、感染したことに気付かせないようにしています。
さらに、「share」、「sharing」という単語を含むフォルダ名を検索し、発見したフォルダに自分自身をコピーします。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
・件名: 以下のいずれかひとつ
* hi
* hello
* read it immediately
* something for you
* warning
* information
* stolen
* fake
* unknown
・本文: 複数の候補からランダムに選択(以下は一部)
* anything ok?
* what does it mean?
* i'm waiting
* read the details.
* here is the document.
* read it immediately!
・添付ファイル名: 二重拡張子になるケースと zip ファイルになるケースがあります。
* ランダムな文字列 + { .txt , .rtf , .doc , .htm} + {.exe , .scr , .com , .pif }
* ランダムな文字列 .zip
■2004.01.29
「WORM_MIMAIL.R(W32/Mydoom)」は、自身の複製をメールの添付ファイルとして拡散する活動を行います。
感染すると、Windowsのsystemディレクトリにtaskmon.exeとshimgapi.dllをコピーします。さらに、レジストリファイルを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定します。
また、感染したコンピュータ内のファイルからメールアドレスを収集し、取得できたアドレス宛にウイルスメールを送信します。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
・件名: (以下の候補のいずれかを選択)
Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
・本文: (以下の候補のいずれかを選択)
"test"
"The message contains Unicode characters and has been sent as a binary attachment."
"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
"Mail transaction failed. Partial message is available."
・差出人アドレス(From): コンピュータから取得できたアドレス
・添付ファイル: ランダムなアルファベット
■2003.10.21
「WORM_SWEN.A」は一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。自身のコピーを電子メールに添付し任意の宛先に送信して頒布するワーム活動を行います。ワームの送信するメールにはInternetExplorerのセキュリティホールを利用したダイレクトアクションを狙ったコードが含まれており、メールをプレビュー/オープンしただけで添付ファイルが実行されてしまう場合があります。
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。
・感染確認方法:
ワームが活動した場合には、Windowsフォルダに以下のファイルが作成されます:
<ランダムなファイル名>.exe
<感染コンピュータ名>.bat
<ランダムなファイル名>.<ランダムな拡張子>
GERMS0.DBV
GERMS1D.DBV
SWEN1.DAT
■2003.08.25
「WORM_SOBIG.F」は「ワーム」に分類されるトロイの木馬型不正プログラムです。自分自身のコピーをメールの添付ファイルとして感染範囲を拡げる活動を行います。
感染すると、Windowsのアドレス 帳や特定の拡張子(.txt、.eml、.html、.htm、.dbx、.wab、.hlp、.mht)のファイルからメールアドレスを収集して、取得できたアドレス宛に以下の内容のメールを送信します。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
送信者アドレス:感染コンピュータから抽出したメールアドレスで詐称する場合があります。
件名:以下のいずれかひとつ
Re: Thank you!
Thank you!
Re: Details
Re: Re: My details
Your details
Re: Approved
Re: Your application
Re: Wicked
本文:以下のいずれかひとつ
See the attached file for details.
Please see the attached file for details.
添付ファイル名:以下のいずれかひとつ
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
■2003.08.14
「WORM_MSBLAST.A」は「ワーム」に分類されるトロイの木馬型不正プログラムです。一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホールを利用してネットワーク上のコンピュータに侵入します。また、"windowsupdate.com"に対してネットワーク攻撃を仕掛けるDoSツールとしての活動も行います。
このセキュリティホールへの攻撃を受けたコンピュータはWindowsが再起動されます。なお、このセキュリティホールは Windows NT/2000/XP/2003Server のみのものです。Windows 95/98/Me ではこのセキュリティホールがありませんのでワームは侵入できません。
ワームとして検出したファイルはすべて削除してください。
■2003.05.15
「W32/Fizzer」は、自分自身のコピーをメールの添付ファイルとして拡大する活動を行います。感染すると、Windowsのアドレス帳(WAB)やOutlookのアドレス帳など感染したコンピュータ内の様々なファイルからメールアドレスを収集して、その全てのメールアドレス宛に、またウイルス自身が作成するランダムなメールアドレス宛に、ウイルス自身が持つリストからランダムに選ばれた件名、本文、添付ファイル名のメールを送信します。
ワームとして検出したファイルはすべて削除してください。
件名:ランダム ← ウイルス自身が持つリストから選ばれる。
本文:ランダム ← ウイルス自身が持つリストから選ばれる。
添付ファイル名:ランダムなファイル名+.exe、.com、.pif、.scr
このウイルスは、差出人アドレスを詐称することがあります。
このウイルスに感染するとWindowsディレクトリに以下のファイルを作成します。
iservc.exe、initbak.dat、iservc.dll、ProgOp.exe
レジストリを改変することにより、パソコン起動時及び.txtファイルにアクセスした時にウイルスが実行されるようにします。
また、以下の活動も行います。
| i) |
ウイルス本体をランダムなファイル名で生成し、ファイル共有ネットワークで共有・感染しようとします。
|
| ii) |
アンチウイルス製品(ワクチンソフト、ファイアウォール)の動作を終了させます。 |
| iii) |
バックドアが仕掛けられ、キー入力情報が第三者に取得されたり、DoS(サービス妨害)攻撃の踏み台にされるなどの遠隔操作をされる可能性があります。 |
| iv) |
IRC(Internet Relay Chat)サーバなどへ接続しようとします。 |
※Internet Explorer のセキュリティーホールを解消するためには、IE5.0およびIE5.5を使用されている場合SP2をあてるか、IE6.0にアップデートする必要がありますので、マイクロソフトのダウンロードセンターよりダウンロードしてください。
|
