WORM_SHOHO.A
特徴:
これは、ワームに分類される「トロイの木馬型」不正プログラムです。
マシン上にあるアドレス帳ファイル・メールファイルなどからメールアドレスを取得し、自身のコピーをメールに添付して送信するワーム活動を行います。また、マシン上のファイルをランダムに削除する悪質な破壊活動を行います。
このワームは流行した「ニムダ」ウイルス同様、 Internet Explorer のセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。メールの添付ファイルが実行されなくともメールがプレビューされたりオープンされるだけでメールの添付ファイルが実行されワームが活動を開始します。
手動削除手順:
1)不正プログラムの自動起動設定を削除します。 Windows のレジストリエディタregedit.exe)などを使用してレジストリの以下の値を削除してください:
場所:\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
場所:\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 場所:\HKEY_USER.Default\Software\Microsoft\Windows\CurrentVersion\Run
値:WINL0G0N.EXE(上記3箇所に共通)
2)再起動後、検知したファイルを削除してください。
3)ファイルが削除された場合は、バックアップよりファイルを戻してください。 ※システムに必要なファイルが削除された場合は、再インストールが必要になることがあります。
-- 受信したワームのメールと思しき不審なメールはすべてメールボックスから手動で削除してください。削除の際にはメールでのダイレクトアクション活動を防ぐため、後述のセキュリティホールへの対応を行ってください。同時に「OutlookExpress」の「プレビューウインドウ」表示を行わない設定にすることをお勧めします。「OutlookExpress」メニューバーの「表示」→「レイアウト」タブ画面から「プレビューウインドウを表示する」のチェックを外してください。
- このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。 不適切な
MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020) この問題はIE5.xxSP2により回避できるようです。
IE6の場合、「最小構成」のインストールではこのセキュリティホールは回避できません。 ※マイクロソフト製品のセキュリティホール情報に関しましては
Microsoft
TechNet セキュリティセンターをご参照ください。
活動:
送信されるメールは以下の内容になります。
件名:Welcome to Yahoo! Mail
本文:Welcome to Yahoo! Mail
添付ファイル:README.TXT______________.PIF ※拡張子「PIF」と「TXT」の間には、125バイト分のスペースを含んでいます。
プログラムが実行されると、自身のコピーファイルを Windows ディレクトリ・システムディレクトリに作成します。このファイルは"WINL0G0N.EXE"という名称を使用していることを確認しています。
また、メール送信の準備として、"EMAIL.TXT"・"EMAILINFO.TXT"という名称のファイルも作成します
"EMAIL.TXT"は、送信するためのMIME64フォーマットのメールで、
"EMAILINFO.TXT"は、メールアドレスリストの情報が記述されるファイルです。 このリストには、マシン上にある以下の拡張子のファイルから取得できたメールアドレスが含まれます。
.EML
.WAB
.DBX
.MBX
.XLS
.XLT
.MDB
|