WORM_BADTRANS.B
別 名:
W32/BADTRANS-B, BADTRANS.B, WORM_Badtrans.B
特 徴:
これは、ワームに分類される「トロイの木馬型」不正プログラムで、 WORM_BADTRANS.A の亜種になります。自身のコピーをメールに添付して送信し、ネットワーク上で自己増殖するワーム活動を行います。また、侵入したマシン上でのキー入力を記録するハッキングツール的活動も行います。
このワームは流行した「ニムダ」ウイルス同様、 Internet Explorer のセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。メールの添付ファイルが実行されなくともメールがプレビューされたりオープンされるだけでメールの添付ファイルが実行されワームが活動を開始します。
メールに添付されるファイル名称はランダムに選択されたもので不定ですが、必ず拡張子が二重にあるファイルとなります。
対応方法:
単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。検出したファイルはすべて「削除」処理を行ってください。
「WORM_BADTRANS.B」が実行されたことによりシステムが改変された場合のために自動駆除ツールをご用意いたしました。こちらのソリューションページからダウンロードしてください。使用上の注意をよくお読みの上、ご使用ください。
または以下の手順で手動にても修復を行えます:
手動削除手順:
安全のため、可能であればWindowsをセーフモードで起動して行ってください。
1)不正プログラムの自動起動設定を削除します。 Windows のレジストリエディタ(regedit.exe)などを使用してレジストリの以下の値を削除してください。
場所:\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
値:kernel32
2)再起動後、ウイルス検索を行って検知したファイルを全て「削除」してください。
また、受信したワームのメールと思しき不審なメールはすべてメールボックスから手動で削除してください。削除の際にはメールでのダイレクトアクション活動を防ぐため、後述のセキュリティホールへの対応を行ってください。同時に「OutlookExpress」の「プレビューウインドウ」表示を行わない設定にすることをお勧めします。「OutlookExpress」メニューバーの「表示」→「レイアウト」タブ画面から「プレビューウインドウを表示する」のチェックを外してください。
-
このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
この問題はIE5.xxSP2により回避できるようです。 IE6の場合、「最小構成」のインストールではこのセキュリティホールは回避できません。
※マイクロソフト製品のセキュリティホール情報に関しましてはMicrosoft TechNet セキュリティセンターをご参照ください。
|