WORM_BUGBEAR.A
別 名:
NATOSTA.A, Tanatos, バグベア-, W32/Bugbear-A, W32/Bugbear@MM
特 徴:
これは一般的に「ワーム」に分類されるトロイの木馬型不正プログラムです。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。
このワームはアンチウイルスソフトのプロセスを終了し、その後Outlook Expressのアドレス帳にある全ての宛先に自身のコピーを添付したメールを送信します。ワームの送信するメールの件名は複数の候補から無作為に選ばれるため不定です。またメールの差出人詐称を行います。
またバックドア活動も行います。
ワームはセキュリティホールを利用し、ワームメールをOutlook、Outlook Expressで電子メールをプレビュー/オープンしただけで添付ファイルが実行されるダイレクトアクション活動を実行させることにより自身のコードを起動させる活動を実現しています。マイクロソフト社ではこのウイルス専用のサイトを設けております。ご参照ください。
対応方法:
ワームとして検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。
・侵入方法:
ワームはメールの添付ファイルとしてユーザのコンピュータに侵入します。セキュリティホールが修正されていない環境ではメールをプレビュー/オープンしただけで添付ファイルが実行され、ワームが活動してしまいます。
・感染確認方法:
ワームが活動してしまった場合には、自身のコピーを<Windowsのシステムディレクトリ>とスタートアップディレクトリに作成します。コピーのファイル名は不定です。ただし、このスタートアップディレクトリへのコピーの作成は日本語版Windows環境では正常に行われない場合があります。
註:WindowsシステムディレクトリはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、
Windows9x/Me/の場合、
システムディレクトリ= C:\Windows\System
WindowsNT/2000の場合、
システムディレクトリ= C:\WinNT\System32
WindowsXP の場合、
システムディレクトリ= C:\Windows\System32
です。
またレジストリの改変が行われます。
・感染していた場合の対処:
ワームを実行してしまい、コンピュータのシステムが改変された場合にはワーム駆除のために以下の方法でシステムの修復を行う必要があります。
・手動削除手順:
Windowsレジストリエディタ(Regedit.exe)などを使用して以下のレジストリ値を削除します:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce
値:
<ランダムな文字列> = <ランダムなファイル名>.EXE
このワームはファイル名が不定のため、メモリ常駐プログラムを終了するためにファイル名を特定する必要があります。最新のパターンファイルを用いウイルス検索を実行してください。
このワームは「WORM_BUGBEAR.A」と検出します。
メモリに常駐している不正プログラムを終了します。下記方法でタスクマネージャーを起動し、上記手順で検出した不正プロセスを全て終了します。
Windows 9x/MEの場合:
CTRL+ALT+DELETEキーを押します。
Windows NT/2000/XP:
CTRL+SHIFT+ESCキーを押します。
タスクマネージャーを終了します。
コンピュータを再起動し、最新のパターンファイルを用いてウイルス検索を行います。「WORM_BUGBEAR.A」で検出したファイルをすべて「削除」してください。
|