● ウィルス情報
項目名をクリックすると、該当情報へジャンプします
W32/CodeRed W32/FBOUND W32/MSBlaster
W32/SIRCAM W32/KLEZ.E W32/MSwen
W32/NIMDA W32/KLEZ.H
W32/BADTRANS W32/Bugbear
W32/Goner.A W32/Bugbear.B
▼ W32/Swen(WORM_SWEN.A:スウェン)
電子メールに添付されてくるファイルを実行すると感染します。大流行した「クレズ」「バッドトランスB」「ニムダ」等と同じく、Internet Explorerにセキュリティホールを利用しており、メールをプレビューしただけで活動を開始する仕組みになっています。
更に、共有ネットワーク、IRC(インターネット・リレー・チャット)やファイル交換ソフトウェアを通じても感染活動を行います。

送信されるメールについて分っている情報
メールの件名、本文、差出人欄に表示されるアドレスは不定ですが、Internet Explorer の修正プログラムの案内メールを装ったり、qmail というメールサーバーソフトウェアからの送信エラー通知メールを装ったりします。

※ Microsoft から送信された Internet Explorer の修正プログラムの案内を装い、添付ファイルを実行させるように促しており、このセキュリティホールを解消していても、添付ファイルを開くと感染してしまいます。また、添付ファイルが実行されると、修正プログラムをインストールするという偽のメッセージを表示し、ウイルスに感染したことに気付かせないようにしています。
このページのTOPに戻る
▼ W32/MSBlaster(WORM_MSBLAST:エムエスブラスト)
各メディアで報道されております通り、2003年8月12日に発見されたウィルスが流行しております。

マイクロソフト社の Windows RPC にあるセキュリティ脆弱性(MS03-026)を利用し、ウィルスを拡散します。
2003年 8月12日に発見されて以降、 その感染が広がっています。感染してしまったコンピュータについては、至急ワームを駆除するとともに、修正プログラムを適用して下さい。現在感染していない場合も、被害を防ぐ為にお使いのパソコンが対象マシンに該当するお客様は、マイクロソフト社の提供する修正プログラムをダウンロードし、実行して頂きますようお願い申し上げます。尚、Windows9×/Meに関しては感染の危険はありません。

対象マシン:
・Windows NT Server 4.0
・Windows NT Server 4.0,Terminal Server Edition
・Windows NT Workstation 4.0
・Windows 2000
・Windows XP
・Windows Server 2003

症状:
・このセキュリティホールへの攻撃を受けたコンピュータはWindowsが再起動されます。
・システムの日付が下記のいずれかの条件に合致した際、"windowsupdate.com"に対してDoS攻撃を開始します。
条件1 "月"が9月〜12月
条件2 "月"が1月〜8月で"日"が16日〜31日

感染時の具体的な事象:
・windowsフォルダ内に「msblast.exe」のファイルが存在する。
・Windowsが再起動する。
・システムが異常終了する。

* 詳細はマイクロソフト社のBlaster に関する情報ページをご参考頂きますようよろしくお願い致します。
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
詳細情報:
これらのウィルスの関連記事は下記のURLにてご紹介しております。ご参照頂き、早急に対策をおとり頂く事をお勧め致します。
●トレンドマイクロ株式会社
http://www.trendmicro.co.jp/msblast/
●日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm.a
●株式会社シマンテック
http://securityresponse.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
亜種に関して:
猛威を振るっているMSBlasterの亜種が発見されています。感染した場合の対処方法や感染ファイル名が初期型のものと異なる場合がありますので、詳細情報をご確認頂き、適切な対策を取られることをお勧め致します。
このページのTOPに戻る
▼ W32/Bugbear.A(WORM_BUGBEAR:バグベアー)
  W32/Bugbear.B(WORM_BUGBEAR:バグベアー)
■W32/Bugbear.A(WORM_BUGBEAR:バグベアー)
感染すると、自分自身を添付したメールをアドレス帳に登録されたメールアドレス宛に送信します。送信の際、アドレス帳等に登録されている他人のアドレスに成り済まして送信します。更に、共有ファイルなどを経由してネットワーク感染も行います。また、パソコン内の「マイドキュメント」フォルダの中からランダムに添付ファイルを選択し送付してしまうので、情報漏洩の危険性があります。

送信されるメールについて分っている情報
件名: ウイルスが持つ多くの文字列のいずれかが使用されます。
添付
ファイル名:
以下のいずれか。
1) Setup.exe
2) 「マイドキュメントフォルダ内のファイル名」+(.pif、.scr、.exe)
3) 単語のランダムな組み合わせ。
(setup, card, docs, news, Image, images, pics, resume, photo, video, music, song data)+(.pif、.scr、.exe)
本文: 空白

※ 「差出人」を感染コンピュータ内で取得した任意のメールアドレスとして設定する場合があります。そのため「差出人」として設定されているメールアドレス使用者のコンピュータが感染しているとは限りません。

※ 大流行した「クレズ」「バッドトランスB」「ニムダ」等と同じく、Internet Explorerにセキュリティホールを利用しています。メールをプレビュー しただけで活動を開始する仕組みになっています。

■W32/Bugbear.B(WORM_BUGBEAR:バグベアー)
2003年6月5日以降に発見されたW32/Bugbear.Aの亜種です。
Windowsのスタートアップフォルダ内にランダムな4文字のEXEファイルが作成されます。
W32/Bugbear.Aと異なる点として、既存のメッセージにウイルスを添付して返信や転送することがあります。
このページのTOPに戻る
▼ W32/KLEZ.E(WORM_KLEZ.E)
  W32/KLEZ.H(WORM_KLEZ.H)
■W32/KLEZ.E(WORM_KLEZ.E)
感染すると、自分自身を添付したメールをアドレス帳に登録されたメールアドレス宛に送信します。送信の際、アドレス帳等に登録されている他人のアドレスに成り済まして送信しますので、感染していることに気付きにくいウイルスです。

送信されるメールについて分っている情報
件名: ランダムな文字列、もしくは以下の文字列のいずれかが使用されます。
本文: ランダムな文字列、もしくは以下の文字列のいずれかが使用されます。

▼文字列
japanese lass' sexy pictures let's be friends darling
welcome to my hometown honey some questions
don't drink too much meeting notice questionnaire
the Garden of Eden congratulations please try again
japanese girl VS playboy how are you introduction on ADSL
look,my beautiful girl friend eager to see you your password
spice girls' vocal concert please try again

破壊活動について:
システム日付が奇数月(1月/3月/5月/7月/9月/11月)の6日に、以下の拡張子を持つファイルを「ゴミ」データ(不定な文字列・スペース等)で上書きする活動を試みます。
TXT HTM HTML WAB DOC
XLS CPP C PAS MPEG
MPG BAK MP3 JPG

※「差出人」を感染コンピュータ内で取得した任意のメールアドレスとして設定する場合があります。そのため「差出人」として設定されているメールアドレス使用者のコンピュータが感染しているとは限りません。

※Internet Explorerにセキュリティホールがある場合、メールをプレビュー しただけで活動を開始する「ダイレクトアクション活動」を実現しています。
 ワームのダイレクトアクション活動を防ぐため、「OutlookExpress」ではメールの「プレビューウインドウ」の表示を行わない設定にすることをお勧めします。

※Internet Explorerのセキュリティホールへの対策を行っていれば感染しないわけではありません。ダイレクトアクション活動が防げるだけです。セキュリティホールはWindows XPや標準インストール以上のInternet Explorer 6には存在しませんが、ウイルスである添付ファイルをクリックするとウイルスは動作します。

本件に関するマイクロソフト社のセキュリティ情報:
●「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020

■W32/KLEZ.H(WORM_KLEZ.H)
KLEZ.E/ KLEZ.Gに非常に似たウイルスです。

送信されるメールについて分っている情報
件名: 英文(幾つかのパターンがランダムで表示される)
本文: 英文(幾つかのパターンがランダムで表示される)

駆除方法について:
無料駆除ツールを利用する場合、特定のウィルス対策ベンダーのウィルス駆除ツールで強制終了が発生することがございます。その際は他の駆除ツールを利用頂くか、各社が記載している対処方法をご確認下さい。


詳細情報:
これらのウィルスの関連記事は下記のURLにてご紹介しております。ご参照頂き、早急に対策をおとり頂く事をお勧め致します。
●トレンドマイクロ株式会社
http://www.trendmicro.co.jp/klez/
●IAPセキュリティーセンター(情報処理振興事業協会)
http://www.ipa.go.jp/security/topics/newvirus/klez.html
●日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/klez.e@MM
●株式会社シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.gen%40mm.html
このページのTOPに戻る
▼ W32/FBOUND(WORM_FBOUND)
感染すると、自分自身を添付したメールを任意の宛先へ送信します。件名が日本語である珍しいウイルスです。

送信されるメールについて分っている情報
件名: 特定の日本語文字列、またはImportant
添付
ファイル名:
PATCH.EXE
本文: 空白
このページのTOPに戻る
▼ W32/GONER(WORM_GONER)
感染すると、自分自身を添付したメールをOutlookのメールやICQのメッセージに添付して任意の宛先に送信します。

送信されるメールについて分っている情報
件名: 「Hi」
添付
ファイル名:
GONE.SCR
本文: How are you ? When I saw this screensaver, I immediately thought about you I am in a harry, I promise you will love it!
このページのTOPに戻る
▼ W32/BADTRANS(WORM_BADTRANS)
感染すると、自分自身を添付したメールをアドレス帳に登録されたメールアドレス宛に送信します。Microsoft OutlookやOutlook Expressではメールを見ただけで感染してしまうことが報告されております。

送信されるメールについて分っている情報
件名: 「info」「docs」「Humor」「fun」のいずれかで、「Re:」が付くこともあります
添付
ファイル名:
二重拡張子(<ファイル名>.<拡張子1>.<拡張子2>の形)
本文: 空白

対象マシン:
マイクロソフト社の Windows を搭載しているマシン

BADTRANS B は自力でメールを送信する機能を持っているため、メールソフトには依存しません(送信履歴にも残りません)。

※ Internet Explorerのセキュリティホールへの対策を行っていれば感染しないわけではありません。ダイレクトアクション活動が防げるだけです。セキュリティホールはWindows XPや標準インストール以上のInternet Explorer 6には存在しませんが、ウイルスである添付ファイルをクリックするとウイルスは動作します。

本件に関するマイクロソフト社のセキュリティ情報:
●「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020

詳細情報:
このウィルスの関連記事は下記のURLにてご紹介しております。ご参照頂き、早急に対策をおとり頂く事をお勧め致します。
●トレンドマイクロ株式会社
http://www.trendmicro.co.jp/badtrans/
●IAPセキュリティーセンター(情報処理振興事業協会)
http://www.ipa.go.jp/security/topics/newvirus/badtrans-b.html
●日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
このページのTOPに戻る
▼ W32/NIMDA(PE_NIMDA A:ニムダ)
マイクロソフト社のInternet Information Server(IIS)のセキュリティホールを利用して感染します。
また、このウィルスは、改竄されたホームページを見ただけで感染する可能性があります。更に、電子メールに添付されてくる「readme.exe」という名称の添付ファイルを受け取った際に、表示しただけで自動的に感染してしまいます。

対象マシン:
マイクロソフト社のInternet ExplorerとOutlook/Outlook Express を使用している Windows パーソナルコンピュータ(windows95、98、ME)
マイクロソフト社のIIS4.0及びIIS5.0を使用しているWebサーバ(windowsNT4.0、2000)
このページのTOPに戻る
▼ W32/SIRCAM(TROJ_SIRCAM.A:サーカム)
電子メールに添付されてくるファイルを実行すると感染します。感染すると感染したパソコンに保存されているメールアドレスに対して、ウィルスを添付したメールを送信します。その際、パソコン内の「マイドキュメント」フォルダの中からランダムに添付ファイルを選択し送付してしまうので、情報漏洩の危険性があります。また、このウィルスは送信済みフォルダに痕跡を残さず、送信者名も変更してしまう為、感染していることに気付きにくい状態になります。更に、Cドライブのすべてのファイルとディレクトリを削除する症状も報告されています。
下記のようなメールを受信しましたら、開封せずに削除頂きますよう、お願い申し上げます。

件名: 添付ファイル名から拡張子を除いた文字列。
この添付ファイルはパソコン内の「マイドキュメント」フォルダからランダムに選択されます。
例 /添付ファイル名が「お見積.els.com」の場合、件名は「お見積」
本文: 英語とスペイン語のメールが確認されています。いずれも一行目と最終行は固定文となり、その間の文はランダムに選ばれるようになっています。
英語バージョン スペイン語バージョン
1行目: Hi! How are you? 1行目: Hola como estas?
最終行: See you later.Thanks 最終行: Nos vemos pronto,gracias

* 「トレンドマイクロ社」「シマンテック社」「日本ネットワークアソシエイツ」より、SIRCAMウィルスの駆除ソフトが公開されています。お心当たりのあるお客様は一度、下記アドレスにアクセスし、お試し頂くことをお勧め致します。
尚、駆除ソフトに関しましては、提供各社に準じております。ご利用方法に関しましては、各社のホームページを御参照頂きますよう、お願い致します。
このページのTOPに戻る
▼ W32/CodeRed(コードレッド)
マイクロソフト社のWindowsNT Server 4.0/Windows2000 ServerのWebサーバであるIISサーバのセキュリティホールを利用し、ウィルスを拡散します。
被害を防ぐ為にお使いのパソコンが対象マシンに該当するお客様は、マイクロソフト社の提供するセキュリティパッチをダウンロードし、実行して頂きますようお願い申し上げます。

対象マシン:
・Windows NT 4.0 でIIS4.0およびIndex Service 2.0がインストールされているマシン
・Windows 2000 でIIS5.0およびIndexing Service がインストールされているマシン
・Windows XPベータ版でIIS5.0およびIndexing Service がインストールされているマシン

詳細情報:
マイクロソフト社のCodeRedワーム対策情報ページをご参考頂きますようよろしくお願い致します。
http://www.microsoft.com/japan/technet/security/codealrt.asp
* 該当マシンの確認方法が判らないお客様は、念のためにセキュリティパッチをダウンロードし、実行して頂くことをお勧め致します。
変種に関して:
猛威を振るっているCodeRedワームの変種が発見されています。感染した場合の対処方法が初期型のものと異なりますので、詳細情報をご確認頂き、適切な対策を取られることをお勧め致します。
詳細・関連情報:
下記のURLにて関連記事をご紹介しております。ご参照頂き、早急に対策をおとり頂く事をお勧め致します。
●トレンドマイクロ株式会社
http://www.trendmicro.co.jp/
●IAPセキュリティーセンター(情報処理振興事業協会)
http://www.ipa.go.jp/security/
●日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/
●株式会社シマンテック
http://www.symantec.com/region/jp/
▲このページのTOPに戻る

Copyright (C) Iam-net