ハンガリー語の苦情メールで感染するウイルス「AURIC」

■URL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AURIC.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AURIC.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AURIC.C
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.magold@mm.html
http://www.nai.com/japan/virusinfo/virA.asp?v=W32/Auric@MM

　ウイルス対策ベンダー各社は、トロイの木馬型ウイルス「AURIC」（シマンテックでは「Magold」）を警告した。トレンドマイクロではダメージと感染度を「高」、シマンテックではダメージを「中」、感染力を「高」としている。

　AURICは、ハンガリー語で書かれた苦情メールに添付された「Maya Gold.scr」を実行することで感染する。感染すると、タイトルが「DirectX Error!」、本文が「Address:0002R1A9V8E52000」の偽エラーメッセージを表示。レジストリを書き換えて、Windows起動時に自身を実行するようにするほか、BAT、COM、EXE、PIF、SCRファイルに自身を関連付けする。

　また、アドレス帳や拡張子が「.html」などのファイルに書かれたメールアドレスに対して大量にメールを送信したり、ICQやKazaaなどのファイル共有ソフト、mIRCなどを経由して感染活動を行なう。

　そのほか、CD-ROMドライブのオープン、空のテキストファイル 「RAVE##.TXT（##は連番）」 をデスクトップに大量作成、ウインドウの色を赤に変更、マウスカーソルの妨害、Webサイト「www.offspring.com」への接続、アクティブウインドウのタイトルに「=:-) OFFSPRING is coOL =:-) PUNK'S NOT DEAD =:-)」を追加する──といった活動を行なう。亜種によっては、悪意を持つユーザーに対してIPアドレスやユーザー名を通知したり、ハンガリー語の文章の印刷や、「VIR」「AV」「NORT」「AFEE」「ANTI」といった文字列を持つプロセス（ウイルス対策プログラム）の停止を行なうものもある。

(2003/6/3)

[Reported by okada-d@impress.co.jp]