バックドア機能を備えたワーム型ウイルス「Aldem」を警告

■URL
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.aldem@mm.html

　株式会社シマンテックは13日、バックドア機能を備えたワーム型ウイルス「W32.HLLW.Aldem@mm」を危険度「2」で警告した。感染力「高」ダメージ「中」としている。

　このウイルスは、「Re:」という件名のメールに「melda.scr」という添付ファイルをつけて、Outlookのアドレス帳に登録されたメールアドレスに対して感染活動を行なう。本文は、「Look at The Attachments for Secret Pictures of My Girl Friend..」となっている。

　また、mIRCやKazaaなどのファイル共有ソフトを通じても感染する。この場合、共有フォルダ内に「Norton Antivirus 2003 Professional Edition.exe」「Hotmail Hack.exe」「PornStar in Hardcore Action.scr」といった名前のファイルとして自身をコピーする。

　感染すると、悪意あるユーザーがリモートから接続できるようになるほか、「Anti-trojan.exe」や「Zonealarm.exe」などのセキュリティ対策ソフトを含むさまざまなアプリケーションのプロセスを停止させる。そのほか、以下に挙げるキーに名前「System Toolkit」、データ「%windir%\Systools.exe」というレジストリ値を追加し、起動ごとにウイルスプログラムが起動されるようにレジストリを改変する。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　感染した場合、最新の定義ファイルにしたウイルス対策ソフトでスキャンし、W32.HLLW.Aldem@mmとして検出されたファイルをすべて削除。その後、書き換えられたレジストリ情報を修正する必要がある。レジストリ情報を修正する場合は、あらかじめバックアップを取っておくことが望ましい。

(2003/6/13)

[Reported by okada-d@impress.co.jp]