2002年06月14日 19:00

WORM_FRETHEM.E

 

別 名:
W32.Frethem.D@mm, フレゼム

特 徴:
 これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。WORM_FRETHEM.Aの亜種になります。自身のコピーを電子メールに添付し任意の宛先に送信して頒布するワーム活動を行います。ワームが送信するメールは以下の内容です。

件名: Re: Your password!
メール本文: ATTENTION!
You can access very important information by this password
DO NOT SAVE password to disk
use your mind
now press cancel
添付ファイル: Decrypt-password.exe、password.txt

 流行した「ニムダ」や「クレズ」などと同様にセキュリティホールを利用してメールをプレビュー/オープンしただけで添付ファイルが実行される「ダイレクトアクション活動」を可能としています。

 単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。

対応方法:
 ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。

・侵入方法:
 通常、ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。ワームのダイレクトアクション活動により、セキュリティホールの修正されていない環境ではメールをオープン/プレビューしただけでワームが活動を開始してしまいます。WindowsとInternetExplorerのバージョンは常に最新の状態にしておくことをお勧めします。

・感染確認方法:
 ワームを実行してしまった場合には、以下のファイルが作成されます:
 <Windowsのスタートアップディレクトリ>¥SETUP.EXE


註:<スタートアップディレクトリ>はデフォルトでC:\Windows\Start Menu\Programs\Startup\(Windows 9x/MEでは)またはC:\WinNT\Start Menu\Programs\Startup\(Windows NT/2K)です。
・感染していた場合の対処:
 特にシステム改変などは行いませんので基本的には最新のウイルス対策プログラムを利用してウイルス検索を行い「WORM_FRETHEM.E」で検出したファイルをすべて「削除」することによってワームの駆除は完了です。ワームはシステムに常駐しますのでWindowsを再起動してからウイルス検索を行うことをお勧めします。
 英語版Windowsをご使用の環境でスタートアップフォルダにワームのコピーが作成されていた場合には、OS起動毎にワームが活動する状態になってしまいます。WindowsのタスクマネージャーよりSetupまたはSetup.exeを終了させてからウイルス検索を行ってください。Windows9x/MeではSAFEモードでマシンを再起動した状態でウイルス検索を行うことをお勧めします。


 
ウィルス名
  • WORM_FRETHEM.E
  • 発見日
    2002年06月
分類
  • ワーム
発生場所
  • 世界中
感染対象
  • Windows系全て

参考(情報 / 駆除方法など)