～mIRCやネットワーク共有でも感染、ウィルス対策ソフトの削除も

受信メール全てのメールアドレスに送信するウィルス「W32.HLLW.Oror.B@mm」

■URL
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.oror.b@mm.html

「W32.HLLW.Oror.B@mm」を警告するシマンテックのサイト

　シマンテック株式会社は、受信トレイなどで発見したメールアドレス全てに自分自身を送信するウィルス「W32.HLLW.Oror.B@mm（以下、Oror）」を感染力“高”として警告した。被害状況は数十台ながらも、ダメージは“中”となっている。

　Ororは、大量メール送信ワーム型のウィルスで、感染後に受信トレイやWindowsのアドレス帳にあるメールアドレス全てに自分自身を送信する点が特徴だ。メール経由での感染以外に、mIRCやネットワーク共有、マッピングドライブを介しても感染を広げるため感染力が高い。また、ファイアウォールやウィルス対策ソフトといったセキュリティー対策ソフトのウィンドウを閉じたり、これらに関するプログラムの削除を行なう。その他にも、PC内にキャッシュされているインターネットに関するパスワードをウィルス作成者に送信するような秘密情報漏えい機能も備えているなど、複数の機能を持ち合わせている。

　実際にOrorに感染すると、まず偽のエラーメッセージを表示し、Windowsフォルダーにランダムなファイル名を使って自分自身をコピーする。また、レジストリーを改変してWindows起動時に毎回自分自身が起動するように変更する。続いて、「mcafee」や「shield」など、セキュリティー関連ソフトと思われる文字列を含むウィンドウを全て閉じる。さらに、「norton and virus」や「black and ice」などの文字列を含むフォルダーやサブフォルダーを削除する。これらのセキュリティー関連ソフト対策を行なった上で、取得したメールアドレス全てに自分自身を送信したり、ネットワーク共有やマッピングドライブに自分自身をコピーするなど、巧妙な作りとなっている。

　万が一感染した疑いがある場合は、ウィルス対策プログラムの再インストールやウィルスファイルの削除、レジストリーの変更など複雑な作業を行なわなければならない。

(2002/11/8)

[Reported by otsu-j@impress.co.jp]