WORM_FRETHEM.K
● ウイルスの特徴:
大流行した「NIMDA」や「KLEZ」同様、Internet Explorerのセキュリティホール(MS01-020)を悪用し、メールやメールに添付されたファイルを開かずとも、プレビュー機能にてメール本文を見たり、カーソル(マウス矢印)をあてるだけでウイルスが活動を開始する仕組みになっています。
ウイルス活動の特徴は下記のとおりです。
1. ウイルス付メールの送信
ワームはWindowsのアドレス帳ファイルと拡張子.dbx(=OutlookExpressのメールアーカイブ)のファイルからアドレスを取得し、自身のコピーを添付したメールを送信します。自力でメール送信を行うため、使用しているメールソフトなどに送信履歴は残りません。
ウイルス付メールの主な特徴は下記のとおりです。件名 : Re: Your password!
本文 : ATTENTION! から始まります。
添付ファイル : "decrypt-password.exe" もしくは "decrypt-password#.exe"
(「#」は一桁のランダムな数字。)
2. Webサイトへのアクセス
ワームはシステム常駐後、Web広告サイトの紹介システムのポイントを稼ぐため、複数のURLへアクセスを試みます。
● お勧めする対策:
・ ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・ Internet Explorer の修正プログラム(セキュリティパッチ)※3を導入してください。
・ 「Re: Your password」という件名のメールは見ずに削除してください。
● トレンドマイクロ製品をお使いの方:
トレンドマイクロ製品では、本ウイルスに対しパターンファイル317以降で対応します。件名等が固定のため、「InterScan eManager」で該当のメールをブロックする方法も有効です。
今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイル等は最新の状態でお使いください。
※3 Internet Explorerのセキュリティホールについて
ニムダの大流行以降、同様のセキュリティホールを悪用するウイルスが続出しています。このセキュリティホールは、Windows版(Windows
XPを除く)のInternet Explorerで、4.xおよび5.xをお使いの場合に存在します。Internet Explorer 6(Outlook
Expressを含む標準構成以上)へバージョンアップするか、Internet Explorer 5.xの場合はService Pack 2を適用し、セキュリティホールをふさぐようにしてください。
このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします;
マイクロソフト社 TechNet セキュリティセンター:
http://www.microsoft.com/japan/technet/security/default.asp
「WORM_FRETHEM.K」の 概要
● 感染対象
Windows 環境のPC
● 感染・侵入経路
プログラムを実行するとWindowsディレクトリに"Taskbar.exe"のファイル名で自分のコピーを作成し、実行します。そしてWindowsのレジストリに以下の記述を追加します:
場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 : "Task Bar"="<Windowsディレクトリ>\taskbar.exe"
これによって次回以降のWindows起動時にワームが自動起動されます。
ワームは最終的にシステムに常駐します。ワームのプロセスはWindowsのタスクマネージャーに表示されます。
● ワーム活動(増殖の仕方)
ワームはWindowsのアドレス帳ファイルと拡張子.dbx(=OutlookExpressのメールアーカイブ)のファイルからアドレスを取得し、自身のコピーを添付したメールを送信します。 ワームはSMTPのメールクライアントとしてメールを送信する機能を持っており、自力でメール送信を行うため、ユーザーが使用しているメールクライアントなどに送信履歴が残ることはありません。ワームはメール送信のためにユーザーが使用しているメールサーバーの情報をレジストリから取得します。ワームが送信するメールは以下の内容です。
件名 : Re: Your password!
本文 : ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
(tmihara)
添付ファイル : "decrypt-password.exe" もしくは "decrypt-password#.exe"
(「#」は一桁のランダムな数字です。)
● その他の活動
ワームは最終的にシステムに常駐し、活動を続けます。Windowsのタスクマネージャー上ではワームのタスクは"SETUP"もしくは"SETUP.EXE"の名称で表示されます。ワームはシステム常駐後、複数のサイトにアクセスを試み続けます。これはWeb広告サイトの紹介システムのポイントを稼ぐためと思われます。
● 「WORM_FRETHEM.K」に感染していないか確かめる方法
ウイルス対策製品がある場合
1)最新の検索エンジン・パターンファイルにアップデートしてください。
2)「手動検索」にてシステム全体を検索してください。
|