ソフォスなど、KaZaAやIRC経由で蔓延するウイルス「Igloo」を警告

■URL
http://www.sophos.co.jp/virusinfo/analyses/w32igloo15.html
http://www3.ca.com/virusinfo/Virus.asp?ID=14295

　ソフォス株式会社やComputer Associates（CA）などのウイルス対策ベンダーは、KaZaAやIRC経由で蔓延するウイルス「W32/Igloo-15（以下、Igloo）」を警告した。CAによると、感染報告数は少ないものの、破壊力や感染力は“高”として注意を促している。

　Iglooはトロイの木馬型ウイルスで、KaZaAネットワークのファイル共有と IRC チャンネル経由で感染する。また、ウイルス対策ソフトやファイアウォールを停止させる機能も持ちあわせている。

　感染すると、Iglooは自分自身をWindowsシステムフォルダーにコピーし、レジストリーを改変することによって、Windows起動時に自動的に自身が実行されるようにする。続いて、別のレジストリーを変更することにより、自分自身をコピーしたフォルダー「Windows￥sys32」をKaZaAネットワークで共有できるようにする。また、「System￥Explorer.vbs」を作成し、mIRCの初期化ファイル「mirc.ini」に感染する。これによって、mIRCのセッションが始まるたびに「mirc.ini」が自動的に起動され、いずれかのチャンネルに参加したユーザーにこのウイルスを送信してしまう。

　そのほかにも、バックグラウンドで継続的にプログラムを実行し、ポートで待機することで、リモートユーザーが感染コンピュータにアクセス・制御できるようになるトロイの木馬機能や、特定のウイルス対策ソフトやファイアウォールアプリケーションを停止する機能などにより、複数の破壊活動を行なう。

　万が一感染した疑いがある場合には、ウイルス対策ソフトでチェックを行なった上で、当該プログラムを削除するようにソフォスやCAは推奨している。

(2003/2/18)

[Reported by otsu-j@impress.co.jp]