～「技術力の誇示が作成の原因である可能性が高い」シマンテック

シマンテック、.NETフレームワーク環境にのみ感染するウィルスを警告

■URL
http://www.symantec.com/region/jp/sarcj/data/w/w32.gaze@mm.html

「W32.Gaze@mm」を警告するサイト

　株式会社シマンテックは、.NETフレームワーク環境においてのみ感染するウィルス「W32.Gaze@mm（以下、Gaze）」を警告した。被害状況やダメージは“低”でありながらも、感染力は“高”となっている。

　Gazeは、メールを介して感染を広げる大量メール送信型ウィルス。感染すると、「Microsoft Outlook」を利用して、Outlookのアドレス帳に登録されている連絡先に自分自身を送信する。

　特徴は、.NETフレームワークがインストールされている環境においてのみ、感染する点だ。従って、対象となるOSはWindows 98/ME/NT/2000/XPとなる。.NETフレームワーク環境下でしか感染しない要因として、シマンテックでは「C♯言語を用いて書かれており、.NETフレームワーク環境下でしか実行されないEXE形式で作られている可能性が高い」としている。実際に.NETフレームワーク環境においてGazeを実行すると、自分自身を「C:\Winnt\System32\Game.exe」としてコピーし、レジストリーの改変を行なう。その結果、Windowsの起動時や再起動時にこのワームが必ず実行されるようになる。

　なおGazeは、以下の件名や本文内容で送信されてくるので、下記条件に合致したメールは絶対に開いてはならない。

件名: faze

本文: How are you today?

添付ファイル名: Game.exe

　万が一、Gazeに感染している疑いがある場合は、ウィルス対策ソフトで検索を行なうか、レジストリーエディターで「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」を表示し、「msdosie c:\winnt\system32\game.exe」の値を検索すればよい。万が一「msdosie c:\winnt\system32\game.exe」が発見された場合は、Gazeに感染している可能性が高いので対策が必要だ。

　シマンテックでは、「このような.NETフレームワーク環境下でしか実行されないウィルスを作成する理由は、“技術力誇示”が最大の要因であろう。感染を広めたいのであれば、より多くのプラットフォーム上で感染するように作成する可能性が高いからだ」とウィルス製作者の思惑を推測している。

(2002/11/5)

[Reported by otsu-j@impress.co.jp]