トレンドマイクロは27日、メールをプレビューしただけで感染するウイルス「ARRET.A」を国内で感染する危険があるとして警告した。危険度は“低”だが、ダメージは“中”、感染力は“高”と評価されている。
ARRET.Aはトロイの木馬型ウイルスで、システムに常駐し、SMTPを利用して自身を添付したメールを送信するほか、共有フォルダに自身のコピーも作成する。感染対象のOSは、Windows XP/2000/NT/Me/98/95。
ARRET.AはWindowsの脆弱性「MS01-020」を利用し、メールを受信したユーザーがこの脆弱性に対するセキュリティ修正プログラムを適用していない場合、ユーザーがメールをプレビューしただけで感染するように設計されている。適用済みの場合は、添付ファイルを実行しない限り感染しない。
実際に感染すると、「Windowsフォルダ」に自身のコピー「Wucrtupd.exe」や4種類のテキストファイルを作成する。また、Windows起動時に自動実行されるようにレジストリ値を追加する。その後、システムに常駐し、「Windowsアドレス帳」「.NETメッセンジャーのコンタクトリスト」「ウイルス本体に含まれる文字列を基にGoogleで検索したWebサイト」からメールアドレスを取得し、自身のコピーを送信する。差出人は、「info@myct.es」「OXYGEN@pandasoftware.es」「受信者のメールアドレス」のいずれか。最後にウイルスは、LAN内の書き込み可能な共有フォルダを検索し、自身をコピーしようとする。
万が一感染の疑いがある場合は、ウイルス対策プログラムでウイルス検索を行ない、「WORM_ARRET.A」や「W32/Tici@MM」として検出したプログラムをタスクマネージャ上で停止する。また、感染後ウイルスによって作成されたフォルダなどをすべて削除し、その後レジストリを修正しなければならない。
関連情報
■URL
「WORM_ARRET.A」の情報ページ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ARRET.A
( 大津 心 )
2003/10/27 17:44
- ページの先頭へ-
|