Internet Watch logo
記事検索
最新ニュース

シマンテック、“追いかけっこ"するウイルス「Wullik.B」を警告


 シマンテックは、ウイルスの実行元フォルダがWindowsエクスプローラでブラウズされると、別の場所にコピーを作り“追いかけっこ”になるウイルス「W32.Wullik.B@mm」を警告した。感染力が高く、危険度2で警告されている。

 Wullik.Bは、Outlookのアドレス帳に登録されているメールアドレスをもとに大量メール送信を行なって感染活動をするウイルス。メールのサブジェクトが「MS?DOS????」(?の部分は中国語の文字)、添付ファイルが「MShelp.EXE」となっており、メール本文も中国語で書かれている。

 Wullik.Bが実行されると、まず自分自身のコピーをWindowsフォルダ内に「Mstray.exe」「MShelp.EXE」として作成する。ウイルスは開いているウインドウを監視ししており、タイトルバーの内容に応じて自身のコピーを増殖させる。例えば、ウイルスがC:\Windows\Mstray.exeに存在しており、ユーザーがWindowsエクスプローラを使ってC:\Windowsを参照した場合、自分自身をランダムなフォルダにコピーする。新たに作成されたウイルスは、古い方のウイルス(この例の場合、Mstray.exe)を削除する。

 一方、ユーザーがウイルスに関係ないフォルダを参照した場合は、現在ブラウズされているディレクトリ名と同じ名前で自身のコピーを作成する。例えば、ユーザーがC:\Windows\Mydirをブラウズした場合、ウイルスは自身をC:\Windows\Mydir\Mydir.exeとしてコピーする。このような感染活動は、ネットワーク共有を介して拡散する恐れがある。

 そのほかWullik.Bは、レジストリ情報の改ざんも行なう。まず、Windowsの起動時に自身が実行されるようにするため、以下のレジストリを書き換える。

場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:"RavTimeXP"= <ワームが現在使用しているファイル名>
  "RavTimXP"= <ワームが前回使用したファイル名>

 また、Windowsエクスプローラのタイトルバーに表示されるファイル名、ディレクトリ名がフルパス表示になるように、以下のレジストリを書き換える。

場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
値:"fullpath" = 0x1

 さらに、Windowsエクスプローラがファイルの拡張子と隠しファイルを表示しないように、以下のレジストリを書き換える。

場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
値:"HideFileExt" = 0x1
  "Hidden" = 0x0

 万が一、Wullik.Bに感染してしまった場合には、まずシステムの復元オプションを無効にし(Windows XP/Meの場合)、ウイルス対策ソフトを最新のウイルス定義ファイルにアップデートする。その後、一度電源を切り、セーフモードもしくはVGAモードでコンピュータを起動してシステムをスキャン、「W32.Wullik.B@mm」または「JS.Exception.Exploit」に感染しているファイルを全て削除する。最後に、改変されたレジストリ情報を修正し、Windowsエクスプローラの設定を元に戻す。


関連情報

URL
  W32.Wullik.B@mm
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.wullik.b@mm.html


( 岡田大助 )
2003/11/10 12:55

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.