News 2001年11月26日 11:55 PM 更新

ウイルス対策ベンダー各社,新種ワーム「BADTRANS.B」に警告

シマンテックやトレンドマイクロは,電子メールの添付ファイルを利用して感染する「BADTRANS.B」に警告した。

 アンチウイルスベンダー各社が,新種ウィルス「BADTRANS.B」に警告を発した。同ウイルスは,今年4月に米国で発生したウィルス「BADTRANS.A」の亜種。トレンドマイクロやシマンテックでは,11月24日に同ウイルスを発見。シマンテックでは,感染力を「高」に設定し,対策を呼びかけている。

 BADTRANS.Bは,「W32/Aliz」や「Nimda」などと同様に,「Internet Explorer」の既知のセキュリティーホールを利用し,電子メールの添付ファイルを介して感染するウイルス。メールをプレビューしただけで感染するダイレクトアクション型のため注意が必要だ。トレンドマイクロの「ウイルストラッキングセンター」では,まだ大きな被害は報告されていないが,AlizやNimdaが猛威を振るったことを考えれば,今後,感染が広がる可能性もある。

 添付ファイル名は,「HUMOR」や「S3MSONG」や「ME_NUDE」などランダムで選ばれる。拡張子が2つあるのが特徴で,最初は「.MP3」「.DOC」「.ZIP」の3種類,最後は「.pif」または「.scr」にとなる(例えば,「NEWS_DOC.MP3.SCR」のように)。また,メールの件名は,「Re:」とだけ記されている場合が多いことが確認されている。

 BADTRANS.Bが実行されると,自分自身を「\windows\system」ディレクトリ内に「kernel32.exe」としてコピーし,レジストリに次の値を追加する。「HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\
\RunOnce\Kernel32=kernel32.exe.」。

 そして,プログラム稼働中は,デフォルトのMAPIプログラム内で発見したアドレスから電子メールを送信するほか,キー操作のログを作成するトロイの木馬をインストールする。

 感染した場合は,ウイルス対策ソフトが検知したファイルを全て削除し,レジストリから上記の値を削除する必要がある。

関連記事
▼ 拡散に失敗した欠陥ウイルス
▼ シマンテックが新種ワームに警告,「連休はウイルス対策してから」

関連リンク
▼ シマンテック
▼ トレンドマイクロ

[中村琢磨, ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.