トレンドマイクロは13日、日本や中国で感染が拡がっているとして、ウイルス「Lovgate.AG」を警告した。危険度は“中”だが、感染力は“高”と評価されており、13日18時時点では日本での感染を6件確認しているという。
Lovgate.AGは、2003年2月に発見されたウイルス「Lovgate」の亜種。メールで自分自身のコピーを送信したり、ネットワーク共有を利用して感染拡大を図る。また、ウイルス対策製品のプロセスを強制終了させるような活動も行なうという。
Lovgate.AGに感染すると、まず自身のコピーをWindowsのシステムフォルダに「IEXPLORE.EXE」や「kernel66.dll」といったファイル名でコピーし、Windows起動時に自分自身が起動されるようにレジストリを改変する。また、PC内のランダムなフォルダに対して、自分自身のコピーや「Lovgate.AE」もしくは「Lovgate.V」のコピーを作成するという。
次に、Windows標準のメール送信機能であるMAPI(Messaging API)を利用し、任意の宛先に対して自分自身のコピーを添付して送信する。その際、送信者アドレスは詐称するほか、メール本文や添付ファイル名は複数の候補からランダムに選ばれるために不定だ。そのあと、アクセス可能なネットワーク共有を探しだし、候補として持っているIDとパスワードを利用してアクセスを試みる。
最後に、「MCAFEE」や「NAV」「SYMANTEC」「Symantec AntiVirus Client」といった文字列を含むプロセスを探し、見つけた場合には強制終了する。これは、セキュリティ対策ソフトのプログラムを停止させるのが目的だ。
Lovgate.AGに感染した場合には、ウイルス対策ソフトの定義ファイルを最新版に更新して検索し、検出したファイルの削除する必要がある。また、ウイルスに改変されたレジストリも修正しなければならない。
関連情報
■URL
Lovgate.AG
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_LOVGATE.AG
( 大津 心 )
2004/07/13 20:15
- ページの先頭へ-
|