 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
シマンテック、Windowsメッセンジャーで感染するウイルス「Funner」を警告 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
シマンテックは、Windowsメッセンジャーで感染を広げるワーム型ウイルス「W32.Funner」(以下、Funner)を危険度“2”で警告した。ダメージ、感染力ともに“中”と警告としている。また、米Trendmicroは「WORM_FUNNER.A」と名付け、危険度は“低”だがダメージ、感染力ともに“高”とし、警戒を呼びかけている。 Funnerは、Windowsメッセンジャーを介して感染を拡大するワーム型ウイルス。感染するとウイルス自身を、システムフォルダに「IEXPLORE.EXE」「EXPLORE.EXE」「userinit32.exe」、Windowsのインストールフォルダに「rundll32.exe」、Cドライブに「funny.exe」としてコピーした後、funny.exeをWindowsメッセンジャーに登録されている連絡先に対して送信しようとする。なお感染方法について、米TrendmicroではMSNメッセンジャーを介して感染するとしている。 IEXPLORE.EXE、EXPLORE.EXE、rundll32.exeの3ファイルは、userinit32.exeとfunny.exeが実行されていることを監視し、この2ファイルが停止されると再起動させる仕組みだ。いずれのファイルもVisual Basicのランタイム環境のコンポーネントである「MSVBVM60.DLL」ファイルを必要とする。 また、レジストリキーを改ざんして、Windowsの起動時に必ずuserinit32.exeやrundll32.exeが実行されるように設定。さらに、ドメイン「www.78p.com」にアクセスしようとし、さまざまなコンポーネントをダウンロードする可能性があるほか、Hostsファイルを改ざんして、900以上のドメインへのアクセスを強制的に特定のIPアドレス「222.89.98.219」にアクセスさせてしまうよう設定変更する。 感染してしまった場合は、改変されたレジストリキーやHostsファイルを修正し、最新のウイルス定義ファイルを使ってスキャンした後、「Funner」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので注意が必要だ。 関連情報 ■URL ウイルス情報(シマンテック) http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.funner.html ウイルス情報(Trendmicro、英文) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FUNNER.A
( 鷹木 創 )
- ページの先頭へ-
|
