WORM_ALIZ.A
詳 細: -
これはワームに分類されるトロイの木馬型不正プログラムです。Outlook、OutlookExpressの設定を利用して自身のコピーを添付したメールを任意の宛先に送信し、ネットワーク上で自己増殖するワーム活動を行います。
流行した「ニムダ」ウイルス同様、InternetExplorerのセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。
活動:
ワームはOutlook、OutlookExpressの設定を利用し、Windowsのアドレス帳ファイルから抽出したメールアドレスに自身のコピーを添付したメールを送信します。ワームはメール送信以外にシステムの改変などは行いません。
ワームが送信するメールの内容は以下の通りです:
メール本文:"Peace."
添付ファイル名:"WHATEVER.EXE"
メールの件名は以下の候補のうちからランダムに選択したいくつかの単語の組み合わせであり、不定です:
FW:
Fw: Re:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
website
site
pics
urls
pictures
stuffs
mp3
shit
music
info
to check
you
I found
tosee here ? check it…!!
:-)
?!
heh;-)
件名例:"Fw: For Funny mp3s you hehe; -)"、"Hot stuff i found!"
、"Fw: Re: many urls!"、"Fw: info to see! many site for you
great urls i found" など
InternetExplorerのセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。メールの添付ファイルが実行されなくともメールがプレビューされたりオープンされるだけでメールの添付ファイルが実行されワームが活動を開始します。
ワームは実行されるとWindowsのアドレス帳ファイルを検索してメールアドレスが登録されているかを調べます。アドレス帳にメールアドレスが登録されていた場合はそれを利用するメールクライアントがインストールされているものと判断し、メールユーザー名、パスワード、メールサーバーや各種SMTPの設定などメール送信に必要な情報を調べます。これらの情報が取得できなかった場合、ワームはメール送信が行えません。
メール送信に必要な情報を取得できた場合、Windowsのアドレス帳ファイル内に登録されているメールアドレスすべてに自身のコピーを添付したメールを送信します。
-----------------------------------------------------------
備 考: -
単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。システム改変なども行いません。
・検出方法
1. 最新の検索エンジン・パターンファイルにアップデートしてください。
2. ”手動検索”にてシステム全体を検索してください。
3. 検出したファイルを削除してください。
単体で独立したプログラムですので、駆除することはできません。「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合、「駆除失敗」となることがあります。その際は、検知したファイルを「削除」していただければ、問題ありません。
-
ウイルスコード内に以下の文字列を含みます:
"iworm.alizee by mar00n!ikx2oo1"
-
このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。
・ダイレクトアクション活動について:
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
この問題はIE5.01SP2、IE5.5SP2により回避できるようです。
|