ウィルス情報!
NetSkyワームの最新亜種「Q」の深刻度を引き上げ。 (2004/03/30)
 トレンドマイクロや日本ネットワークアソシエイツの集計によれば、NetSky.Qの感染報告数は、3月30日午後の段階で
全世界でそれぞれ1000件近くに上っている。被害が増加し続けていることを受け、ウイルス対策ベンダー各社は同ウイ
ルスの危険度を引き上げた。

 NetSkyはエラーメッセージを装った電子メールの添付ファイルの形で届く。添付ファイルは通常、「.exe」「.pif」
「.scr」「.zip」のどれかの拡張子がついている。もし添付ファイルをクリックしてしまうと、ウイルスは自分自身を
ローカルディスク内にコピーする。
 感染した場合、送信者のアドレスを偽装、サブジェクト行とメール本文を変更し大量にメールを送りつける。

 NetSky.Qはまた、Windowsのセキュリティホールを使っても感染を広める。この場合、添付ファイルをクリックしなく
ても、ウイルスが送りつけるメールを開いたりプレビューするだけで感染してしまう。なお、Windows XPにはこの問題は
存在しない(それでも添付ファイルをクリックしてしまえば感染は免れない)。Windows XP以前のOSを利用している場合、
すぐさま修正パッチを適用すべきだ。このパッチを適用できない(したくない)ならば、Outlook/Outlook Express以外の
メーラーを利用するべきである。
 また、本文中にHotmailのメッセージを装ったURLが記されたものもある。このURLをクリックしても、ウイルスに感染
してしまう。添付ファイルだけでなく、URLについても不用意にクリックすることのないよう注意が必要だ。

 さらには、解析の結果、NetSky.QにはDoS(サービス妨害)攻撃を仕掛ける機能が仕込まれていることも判明した。
同ウイルスに感染したPCの日付が4月8日から11日の間、特定のWebサイトに対し、DoS攻撃を仕掛けるという。またその
前に、PCの日付が2004年3月30日の午前5時11分になると、ビープ音を鳴らし始めるという。

Netsky.Qが日本を局地的に狙った可能性を否定できない〜野々下氏。〜Netsky.Qに感染したマシンの3分の2以上が日本[INTERNET Watch]

■ウィルスデータベース
トレンドマイクロ
シマンテック
ネットワークアソシエイツ

新種ウイルス「Blaster」。被害コンピューター19万台に。(2003/08/13)
 シマンテックによると、米国で発見された新型ウイルスの被害は世界的に拡大、米国時間13日未明時点で、
全世界で18万8000台のコンピューターが感染した。

 ウイルス名は「Blaster」。「ウィンドウズ」の欠陥が未修復のパソコンに感染、さらに感染できるパソコンを探す。
またマイクロソフトの一部のサイトにつながらないようにする。
 新ウイルスには「ビル・ゲイツ、金もうけをやめて、ソフトを直しな」というメッセージが隠されているという。

 マイクロソフトは修正パッチを約1カ月前から配布し始めたが、利用者の多くがダウンロードしなかったために、
新ウイルスが広がってしまった。

 トレンドマイクロ(東京)は、国内被害件数が13日午後1時現在で268件に達したと発表した。
同社の広報担当者は「報告件数の伸びは鈍っていない。引き続き対策や警戒が必要だ」と話している。


■ウィルスデータベース
Symantec Security Response

危険度「高」、「バグベアB」の被害急増 (2003/06/06)
 ウイルス対策ソフト大手各社は、コンピューターウイルス「バグベアB」の被害報告が国内でも急激に増えていると、  警告を出している。
 
  メールの添付ファイルなどを通じて感染、大量にメールを送信して増殖するほか、感染パソコンをハッキング  されやすい環境に変更したり、対策ソフトを強制終了させたりするなどの活動も行うという。
  日本ネットワークアソシエイツによると、6日午前10時の時点で、日本国内での検知件数は100件。同社は5日、  このウイルスの危険度を7段階の4番目にあたる「中」から2番目の「高」に引き上げた。  同社が危険度「高」の警告を発したのは、1月下旬に韓国で大流行した「スラマーワーム」以来。
 
  添付ファイル経由での感染は通常、ファイルを開くことで感染するケースが多いが、マイクロソフト社のインターネット   ・エクスプローラーに修正プログラムを導入していないと、メールのプレビューのみで感染することもあるという。
  
 このウイルスを検索、駆除するための専用ツールを、対策ソフト大手3社のホームページから無償でダウンロードできる。

■ウィルスデータベース
Trend Micro
McAfee
Symantec Security Response
Microsoft

プレビューしただけで感染するウィルス「Frethem」に注意(2002/07/15)
〜15日19時現在、未対応のアンチウィルスソフトもあり

 ウィルス対策ベンダー各社は15日、見ただけで感染する可能性のあるウィルス「Frethem」の危険性を警告した。
トレンドマイクロによると、このウィルスは15日に発見され、17時30分現在、国内で44件の感染が報告されている。

 「Frethem」は、2002年5月30日に発見されたウィルス「Frethem.A」の亜種。InternetExplorerの5.01や、
SP2以外の5.5に存在するセキュリティホールを利用して、メールをワンクリック・プレビューしただけで感染する
「ダイレクトアクション活動」を行なう点が特徴。

 感染後の活動としては、自身をWindowsディレクトリーにコピーし、レジストリーを書き換え、メールボックス、
アドレス帳にあるメールアドレスへ送信を行なう。送信の際、Subject欄は「Re: Your password!」に、本文は「ATTENTION!」から
始まる文章となる。また、添付ファイルには「Decrypt-password.exe」と「Password.txt」の二つが添付されており、「Password.txt」
には「Your password is W8dqwq8q918213」と書かれている。

 15日19時現在、シマンテックのウィルス対策ソフトでは、まだこのウィルスに対応したウィルス定義ファイルが提供されていない。
従って、このウィルスを受信した際でも、アンチウィルスソフトは反応しないので、十分な注意が必要だ。対策としては、MS01-020の
パッチをあてることや、IE6.0へアップデートするなどしてセキュリティホールをふさぐ必要がある。

 このように、アンチウィルスソフトでは検出できない可能性が高く、「Frethem」に感染しているかどうかを調べるためには、下記の作業が必要だ。

・スタート→検索→ファイルやフォルダから「taskbar.exe」を入力し、検索する
・発見された場合には、「Frethem」に感染しているため、「taskbar.exe」の削除および、レジストリーの修正が必要だ。

 なお、トレンドマイクロやネットワークアソシエイツでは、15日19時頃「Frethem」に対応したウィルス定義ファイルの配布を開始したので、
最新のウィルス定義ファイルに更新することで対応が可能だ。

■ウィルスデータベース
Trend Micro
Networks Associates Technology
Symantec Security Response(英文)
Sophos
Microsoft(英文)

ウイルス「WORM_FBOUND.C」の感染被害が急拡大(2002/03/15)

 日本語のサブジェクトが書かれたE-mailを利用して感染を試みる「WORM_FBOUND.C」の被害が急激に拡大している。
トレンドマイクロでは、3月14日から15日11時30分までに「Nimda」を上回る227件の感染報告を受け付けた。
 被害報告の急増にともない、トレンドマイクロはウイルス警報を上から2番目のレベルVAC-2に引き上げた。

 感染したメールのサブジェクトは、メールアドレスのドメイン名が「.jp」の場合には「Re:例の件」「Re:重要」
「Re:お久しぶりです」「Re:極秘」「Re:こんにちは」「Re:重要なお知らせ」「Re:資料」「例の件」「重要」
「お久しぶりです」「極秘」「こんにちは」「重要なお知らせ」「資料」「蛙」「ウソコ」「うんこ」のいずれかが、
それ以外のドメインの場合には「Important」となる。

 感染するとWindowsのアドレス帳に登録されているアドレスに自身を送信することで拡大を試みるが、
現時点では破壊活動などは確認されていない。

 ウイルス対策ソフトメーカー各社が付与しているウイルスの名称も変更された。
トレンドマイクロは、当初「WORM_JAPANIZE.A」という名称を使用していたが、その後「WORM_FBOUND.B」に変更、
さらに活動は酷似しているものの相違点があるとして「WORM_FBOUND.C」としている。同社のウイルス対策ソフト
「ウイルスバスター2002」などをパターンファイル242以降で使用した場合「WORM_FBOUND.C」の名称で検出される。

 シマンテックも同様で、「W32.FBound@mm」から「W32.Dotjaypee@mm」「W32.Impo.Gen@mm」に変更した。

■関係各所の対応状況
ウイルス「WORM_FBOUND.C」の情報(トレンドマイクロ)
ウイルス「W32.Impo.Gen@mm」の情報(シマンテック)
ウイルス「W32/Fbound.c@MM」の情報(ネットワークアソシエイツ)

新種ウィルス「BADTRANS.B」を警告(2001/11/26)

 トレンドマイクロやシマンテックなどウィルスベンダー各社は、新種ウィルス「BADTRANS.B」を警告した。両社は、既に
「BADTRANS.B」に対応したウィルス定義ファイルを発行している。

 「BADTRANS.B」は、今年6月に発生したウィルス「BADTRANS.A」の亜種で、先日発見された「W32/Aliz」や
「Nimda」などと同様に、インターネットエクスプローラーのセキュリティーホールを利用したウィルスで、
メールの添付ファイルを介して感染する。
ファイル名は「HUMOR」や「S3MSONG」などランダムで選ばれるが、最初の拡張子が「.MP3」や「.DOC」と
なっており、最後の拡張子は「.pif」か「.scr」の何れかとなる。また、件名欄には「Re:」と表示されている
ことが多く、「Re:」とだけ表示されているメールは要注意。

 アウトルックエクスプレスを利用している場合、メールを開封するか、プレビューしただけで感染してしまう。
対策としては、「インターネットエクスプローラー 5.01/5.5」を利用している場合、必ずSP2を適用しなければ
ならない。

 「BADTRANS.B」に感染すると、電子メールを送信し、ユーザーが打ったキー操作のログを作成するトロイの木馬を
インストールする。対策としては、ウィルス定義ファイルを更新し、発見された場合は、発見されたウィルスを削除
することと、感染している場合は、レジストリーの変更などが必要となる。

 トレンドマイクロは「『BADTRANS.B』は、24日頃にアメリカで大量発生を確認し、急遽日本でも対策プログラムを
作成した。日本では、25日までは全く報告されてなかったが、26日19時現在では、既に10件の報告を受けている。
発見されて間もないウィルスなので、今後の蔓延が危惧される」と語った。

■関係各所の対応状況
トレンドマイクロ
トレンドマイクロ、“BADTRANS.B”の駆除ツール「FIX_BADTRANS」を無償配布(11/30)

シマンテック

国内感染急増の「Aliz」(2001/11/24)

 インターネットエクスプローラーのセキュリティホールを利用したウイルス「Aliz」の国内感染が急増。
情報処理振興事業協会(IPA)や関係各所より警報が発せられている。

「Aliz」は添付ファイルを介して感染するが、インターネットエクスプローラーのセキュリティホールを利用し、
アウトルックエクスプレスではメールを開いただけで感染する。
 感染後は、アドレス帳の全アドレスに対し、自身のコピーを添付したメールを送信。だが、システムの改変
などは行わない。

 このウイルスの送信するメールの内容は以下の通り。
   件名:不定(ランダム)
   添付ファイル名:WHATEVER.EXE
   本文:Peace
 
■関係各所の対応状況
トレンドマイクロ(パターンファイル137(または937)以降で対応)
ウイルス詳細
パターンファイルダウンロードサイト

シマンテック(5月22日付け以降の定義ファイルで対応)
ウイルス詳細
定義ファイルダウンロードサイト

日本ネットワークアソシエイツ(DATファイル4141以降、エンジンで4.0.02以降対応)
ウイルス詳細
DATファイルダウンロードサイト

日本エフ・セキュア
ウイルス詳細
パターンファイルダウンロードサイト
 
 
ニムダの亜種「ニムダE」発見!

 予想通り、ニムダの新種「ニムダE」が登場した。ネットワーク経由でメールの添付ファイルや
ホームページなどを通じて感染する。「メールの添付ファイルをクリックしなくても感染してしまう」
という特長がある。添付ファイルが「sample.exe」となっているものは感染の危険があるという。
 トレンドマイクロとシマンテックでは注意を呼び掛けるとともに、無償で駆除用ソフトの配布を始めている。

■関連情報
感染力強いPCウイルス、ニムダの改造版登場
Nimda.E変種ワームが、異なるファイル名を伴って攻撃開始
「ニムダ」亜種の被害拡大・駆除ソフト無償
Nimdaの変種「W32.Nimda.E@mm」を危険度レベル3に引き上げ、対応する駆除ツールを提供開始
「ニムダ」なぜ感染拡大。多用な経路と手段 ソフトの欠陥突く(10/03)
 
■ニムダ対策サイト
トレンドマイクロ
シマンテック
IPA
 
新種ウイルス「W32Nimda(ニムダ)」襲来!!
サイト閲覧だけでも感染の危険!

 感染力が非常に強い新種コンピューターウイルス「W32Nimda(ニムダ)」が 猛威を振るい始めた! _ 「ニムダ」は企業などのインターネットのウェブサイトを 管理するサーバーに感染、そのホームページを閲覧した個人のパソコンに次々と感 染する。7-8月に世界でまん延したウイルス「サーカム」や「コード・レッド」以上の被害を 懸念する声も出ている。

 新ウイルスは主に2つの感染方法をもつ。ネットを通じ企業のサーバーからサーバーへと 感染するほか、パソコンにもうつる。パソコンが感染した場合、所有者が気付かない間にア ドレス帳に登録してある送信先に勝手にウイルス汚染メールを送りつける。メールには「r eadme exe.」と題した添付ファイルが付き、これを開けるとやはり感染する。感 染したサーバーやパソコンはしばらくして保存データが破壊される。

 新ウイルスはパソコンの場合、マイクロソフトの基本ソフト「ウィンドウズ95」「同98」 と、同じくネット閲覧ソフト「インターネットエクスプローラー(IE)」を利用している 場合に感染の恐れがある。ユーザーは最新のウイルス対策ソフトを導入するか、「IE」に マイクロソフトの修整ソフトを導入することで感染を防げる。(日経新聞)

■関連情報
新種コンピューターウイルス「ニムダ」が猛威
「ニムダ」被害拡大・サイト閲覧で感染
<図説>パソコン利用者が「ニムダ」の感染を防ぐ方法
「ニムダ」駆除急ぐ・ウイルス対策ソフト各社、無償でツール提供
「ニムダ」感染900台超す・個人用、警察庁調べ
ニムダに新たな感染経路、警察庁が注意喚起

■ニムダ対策サイト
トレンドマイクロ
日本ネットワークアソシエイツ
シマンテック

TOPへ