 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
Microsoftからのアップデートプログラムに偽装したウイルス「Swen」 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
日本ネットワークアソシエイツ(NAC)や米Symantecなどのウイルス対策ベンダー各社は、Microsoftからのアップデートプログラムに偽装して感染活動を行なうウイルス「Swen.A」を警告した。また、CIACも危険度を「HIGH」として、ウイルスを実行しないよう呼びかけている。 Swen.Aは、「Gibe.B」に非常によく似たウイルス。ウイルスを実行すると「Microsoft Internet Update Pack」という名前の一連のメッセージボックスを表示しながら、ウイルスのインストールを行なう。ウイルス本体は、Windowsディレクトリにランダムな名前でコピーされる。また、各種セキュリティソフトを実行不可にする。 そのほか、ユーザーIDやパスワード、SMTPサーバー、POP3サーバーの入力を促す「MAPI32 Exception」という名前のダイヤログボックスを表示し、ユーザーからこれらの情報を収集しようとする。 また、Windowsディレクトリに「Germs0.dbv」と「Swen1.dat」、コンピュータネームをつけた.batファイル、ランダムな名前をつけた.cfgファイルが作成される。Germs0.dbvは取得したメールアドレスリスト、Swen1.datはリモートのニュースサーバーやメールサーバーのリストになっている。 さらにレジストリ情報の改変も行ない、PCの起動時やBAT、COM、EXE、PIF、REG、SCRの各ファイルが実行される時に、ウイルスを実行するようにする。また、以下のレジストリ情報を変更し、RegEditの実行を不可にする。 場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System 値 :"DisableRegistryTools" = 01 00 00 00 なお、NACでは、RegEditを再び使えるようにするための専用ツール「UNDO.REGツール」の配布を行なっている。 感染活動は、Microsoftからの修正プログラムを装ったメール送信のほか、Kazaaなどのファイル共有ソフト、IRC、ネットワーク共有などを通じて行なわれる。万が一感染してしまった場合、Windows XP/Meではシステム復元機能を停止した上で、最新のウイルス定義ファイルを用いてスキャンし、「Swen.A」として発見されたファイルをすべて削除する。その後、改変されたレジストリ情報を修正する必要がある。 関連情報 ■URL 日本ネットワークアソシエイツのセキュリティ情報 http://www.networkassociates.com/japan/security/virS.asp?v=W32/Swen@MM 米Symantecのセキュリティ情報(英文) http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.a@mm.html CIACのセキュリティ情報(英文) http://www.ciac.org/ciac/bulletins/n-153.shtml 関連記事:セキュリティ関連会社、mIRCやKazaaを通じて広がる新種ウイルス「GIBE」を警告 http://internet.watch.impress.co.jp/www/article/2003/0226/gibe.htm
( 岡田大助 )
- ページの先頭へ-
|
