 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
シマンテック、“追いかけっこ"するウイルス「Wullik.B」を警告 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
シマンテックは、ウイルスの実行元フォルダがWindowsエクスプローラでブラウズされると、別の場所にコピーを作り“追いかけっこ”になるウイルス「W32.Wullik.B@mm」を警告した。感染力が高く、危険度2で警告されている。 Wullik.Bは、Outlookのアドレス帳に登録されているメールアドレスをもとに大量メール送信を行なって感染活動をするウイルス。メールのサブジェクトが「MS?DOS????」(?の部分は中国語の文字)、添付ファイルが「MShelp.EXE」となっており、メール本文も中国語で書かれている。 Wullik.Bが実行されると、まず自分自身のコピーをWindowsフォルダ内に「Mstray.exe」「MShelp.EXE」として作成する。ウイルスは開いているウインドウを監視ししており、タイトルバーの内容に応じて自身のコピーを増殖させる。例えば、ウイルスがC:\Windows\Mstray.exeに存在しており、ユーザーがWindowsエクスプローラを使ってC:\Windowsを参照した場合、自分自身をランダムなフォルダにコピーする。新たに作成されたウイルスは、古い方のウイルス(この例の場合、Mstray.exe)を削除する。 一方、ユーザーがウイルスに関係ないフォルダを参照した場合は、現在ブラウズされているディレクトリ名と同じ名前で自身のコピーを作成する。例えば、ユーザーがC:\Windows\Mydirをブラウズした場合、ウイルスは自身をC:\Windows\Mydir\Mydir.exeとしてコピーする。このような感染活動は、ネットワーク共有を介して拡散する恐れがある。 そのほかWullik.Bは、レジストリ情報の改ざんも行なう。まず、Windowsの起動時に自身が実行されるようにするため、以下のレジストリを書き換える。 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 値:"RavTimeXP"= <ワームが現在使用しているファイル名> "RavTimXP"= <ワームが前回使用したファイル名> また、Windowsエクスプローラのタイトルバーに表示されるファイル名、ディレクトリ名がフルパス表示になるように、以下のレジストリを書き換える。 場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState 値:"fullpath" = 0x1 さらに、Windowsエクスプローラがファイルの拡張子と隠しファイルを表示しないように、以下のレジストリを書き換える。 場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 値:"HideFileExt" = 0x1 "Hidden" = 0x0 万が一、Wullik.Bに感染してしまった場合には、まずシステムの復元オプションを無効にし(Windows XP/Meの場合)、ウイルス対策ソフトを最新のウイルス定義ファイルにアップデートする。その後、一度電源を切り、セーフモードもしくはVGAモードでコンピュータを起動してシステムをスキャン、「W32.Wullik.B@mm」または「JS.Exception.Exploit」に感染しているファイルを全て削除する。最後に、改変されたレジストリ情報を修正し、Windowsエクスプローラの設定を元に戻す。 関連情報 ■URL W32.Wullik.B@mm http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.wullik.b@mm.html
( 岡田大助 )
- ページの先頭へ-
|
