WORM_ALIZ.A
別 名:
iworm.alizee, TROJ_ALIZ.A, W32.ALIZ.WORM, WIN32.ALIZ, ALIZ
特 徴:
これはワームに分類されるトロイの木馬型不正プログラムです。Outlook、OutlookExpressの設定を利用して自身のコピーを添付したメールを任意の宛先に送信し、ネットワーク上で自己増殖するワーム活動を行います。
ワームが送信するメールの内容は以下の通りです:
メール本文:"Peace."
添付ファイル名:"WHATEVER.EXE"
メールの件名は以下の候補のうちからランダムに選択したいくつかの単語の組み合わせであり、不定です:
FW:
Fw: Re:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
website
site
pics
urls
pictures
stuffs
mp3
shit
music
info
to check
you
I found
tosee here ? check it…!!
:-)
?!
heh;-)
件名例:"Fw: For Funny mp3s you hehe; -)"、"Hot stuff i found!"
、"Fw: Re: many urls!"、"Fw: info to see! many site for you
great urls i found" など
流行した「ニムダ」ウイルス同様、InternetExplorerのセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。
対応方法:
単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。システム改変なども行いませんので特別な駆除手順などは必要ありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。検出したファイルはすべて「削除」処理を行ってください。
また、受信したワームのメールと思しき不審なメールはすべてメールボックスから手動で削除してください。削除の際にはメールでのダイレクトアクション活動を防ぐため、後述のセキュリティホールへの対応を行ってください。同時に「OutlookExpress」の「プレビューウインドウ」表示を行わない設定にすることをお勧めします。「OutlookExpress」メニューバーの「表示」→「レイアウト」タブ画面から「プレビューウインドウを表示する」チェックボックスのチェックを外してください。
-
このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
この問題はIE5.xxSP2により回避できるようです。 IE6の場合、「最小構成」のインストールではこのセキュリティホールは回避できません。
※マイクロソフト製品のセキュリティホール情報に関しましてはMicrosoft TechNet セキュリティセンターをご参照ください。
|