米Symantecは8日、“9.11”を連想させるウイルス「W32.Vote.K@mm」を危険度2で警告した。ダメージ、と感染力がともに「高」になっている。
Vote.Kは、Outlookのアドレス帳を利用して大量にメールを送信するほか、Kazaaなどのファイル共有ソフトでも感染活動を行なう。メールのサブジェクトは「THE WAR HAS STARTED !」、添付ファイルは「WTC32.scr」となっている。
Vote.Kが実行されると、「WORLD TRADE CENTER」という題名のメッセージボックスが開き、「WE WILL ALWAYS REMEMBER THOSE LOST SOULS...」というメッセージが表示される。また、「VICTIM # xxx」(xxxは3桁の数字)というメッセージも表示される。
感染すると、notepad.exeや「C:Autorun.com」「C:NT-Help.com」「C:\Op_Me.co_」「C:\Documents and Settings\All Users\Desktop\Welcome.scr」を自身に書き換えるとともに、「You Are A Victim Of The WTC Worm !」と書かれた「WTC.txt」や、「Users In Harmony With God !」と書かれた「WTC32.dll」などのファイルをcドライブ直下に作成。さらに、ルートフォルダ以外の「.com」「.exe」「.scr」を自身に上書きするほか、「.bmp」「.jpg」「.mp3」「.mpg」「.rar」「.wav」「.zip」ファイルを自身に上書きした上で「.bmp.exe」のように拡張子「.exe」を付ける。
また、システムフォルダの「.dll」「.ocx」、Windowsフォルダの「.sys」、Cドライブ直下のすべてのファイルを削除しようとする。さらに、レジストリ情報を以下のように書き換える。
場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"W32Tc"="C:\Windows\WTC32.scr"
場所:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
値 :"RegisteredOwner"="YOU ARE A VICTIM OF THE"
"RegisteredOrganization"="WORLD TRADE CENTER"
"ProductName"="w32.hllw.I-Worm.WTC.03"
場所:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
値 :"Start Page"="c:\Windows\WTC32.scr"
場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
値 :"WtcSnd"=1
万が一、感染してしまった場合、PCが再起動しないようならOSの再インストールが必要となる。PCが起動する場合は、最新のウイルス定義ファイルを使ってスキャンし、W32.Vote.K@mmとして検出されたファイルをすべて削除する。その後、書き換えられたレジストリ情報を元の状態に戻し、Internet Explorerのスタートページをリセットする必要がある。
関連情報
■URL
Symantec Security Response - W32.Vote.K@mm(英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.vote.k@mm.html
( 岡田大助 )
2003/09/09 14:45
- ページの先頭へ-
|