ソフォスなど、Yahoo! IDとパスワードを入手しようとするウイルスを警告

■URL
http://www.sophos.co.jp/virusinfo/analyses/w32crocka.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.danvee@mm.html

起動すると立ち上がるダイアログボックス

　ソフォス株式会社と株式会社シマンテックは、Yahoo!を装ったダイアログボックスを表示し、Yahoo! IDとパスワードを入手しようとするウイルス「W32/Crock-A（シマンテックでの名称はW32.Danvee@mm、以下Crock）」を警告した。シマンテックでは、危険度“2”、感染力“高”と認定している。

　Crockは、Microsoft Outlookを使用する大量メール送信型のウイルス。特徴はYahoo!を装い、Yahoo! IDとパスワードを入手しようとする点だ。また、ウイルス対策ソフトなどのセキュリティ関連プログラムのプロセスを終了させようとする。

　Crockは、「CROCK.EXE」または「CROCK.SCR」という添付ファイル名で送信されてくる。添付ファイルは「Yahoo! Messenger」と同じアイコンを利用しており、起動時にそのアイコンと“Connect to everything in Y!”と表示するメッセージボックスを立ち上げ、ユーザーにYahoo ID!とパスワードを入力させようと試みる。ダイアログボックスで「OK」をクリックすると、以下の特徴を持つメールをアドレス帳内のすべての宛先へ送信する。

件名：Your free yahoo account and file!

本文：

Yahoo ID: YOUR-PC-NAME

password: the-password-you-typed-in

　一方、ダイアログボックスで「Cancel」を押すと「OK」を押した時と異なり、以下の特徴を持つメールをアドレス帳内のすべての宛先へ送信する。

件名：Yahoo Game House

本文：

>From the makers of Yahoo Game House, here is a new game from vAndEEd0!

The Crock

Yahooligans!

　メール送信後、Crockは自分自身をPCにコピーし、レジストリを改変する。その後、「BLACKICE」や「Zonealarm」などのプロセスを探し、停止する。

　万が一感染した場合は、ウイルス対策プログラムでウイルス検索を行ない、「W32/Crock-A」や「W32.Danvee@mm」として検出したファイルや、感染後ウイルスによって作成されたフォルダなどをすべて削除し、その後レジストリを修正しなければならない。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。

(2003/6/19)

[Reported by otsu-j@impress.co.jp]