Internet Watch logo
記事検索
最新ニュース

拡張子PIFで自分を送信するウイルス「Zafi.B」が危険度“中”で警告


 トレンドマイクロや日本ネットワークアソシエイツ(NAC)は、メモリ常駐型の大量メール送信ウイルス「Zafi.B」を感染が拡大しているとして、危険度“中”で警告した。トレンドマイクロによると、イギリスを中心に感染を拡げており、日本でも感染者が発生しているとしている。

 Zafi.Bはファイル感染型のウイルスで、ファイルが実行されるとメモリに常駐する。感染すると、Windowsのシステムフォルダに自分自身のコピーを「<ランダムな文字列>.exe」や「<ランダムな文字列>.dll」として作成する。また、レジストリを改変し、自身が自動実行されるようにするほか、自身の活動記録を保存する。

 次に、感染したPC内の「.htm」や「.txt」「.mbx」などのファイルからメールアドレスを収集し、自分自身のコピーを添付して送信する。その際、送信者名は詐称するほか、件名や本文は複数の言語の例からランダムで選択されるので、一定ではない。ただし、添付ファイルの拡張子は「PIF」のみとなっているので、添付ファイルの拡張子が「PIF」であった場合には、十分な注意が必要だ。

 続いてZafi.Bは、「share」や「upload」といった文字列を含むフォルダを探し出し、自分のコピーを作成する。その際のファイル名は以下の2種類のうちのいずれかが選ばれる。

winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe

 これは、P2Pファイル交換ソフトでの感染拡大を狙ったものだと推測されている。そのほかにも、「regedit」や「msconfig」「task」といったプロセスの強制終了や、ウイルス対策ソフトやパーソナルファイアウォールソフトのディレクトリを検索し、実行ファイルを自身のコピーで上書きして削除する、といったことも行なうという。

 トレンドマイクロでは感染時の対処方法として、まずWindowsをセーフモードで起動し、Zafi.Bに改変されたレジストリを修正する。次にウイルス対策ソフトの定義ファイルをアップデートして検索し、Zafi.Bとして検出されたファイルをすべて削除すれば良いという。ただし、レジストリの修正は自己責任で行なわなければならない。


関連情報

URL
  トレンドマイクロ「Zafi.B」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_ZAFI.B
  NAC「Zafi.B」
  http://www.nai.com/japan/security/virXYZ.asp?v=W32/Zafi.b@MM


( 大津 心 )
2004/06/15 13:49

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.