最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き~東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」~Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり~米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応~JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【セキュリティ】

米Symantec、WindowsからCドライブを隠すウイルス「Gruel」を警告

■URL
http://securityresponse.symantec.com/avcenter/venc/data/w32.gruel@mm.html

 米Symantecは14日、Microsoftからの緊急アップデートメールを装い、感染するとWindowsからCドライブを見えなくしてしまうウイルス「W32.Gruel@mm」を警告した。危険度は2で、感染力、ダメージともに「高」としている。

 Gruelは、Outlookのアドレス帳や、ファイル交換ソフト経由で感染活動を行なう。ウイルスを媒介するメールは、件名が「Microsoft Windows Critical Update.」、添付ファイルが「Windows Critical Update 088562.exe」となっている。

 感染すると、Autoexec.batやConfig.sys、またシステムフォルダ内の「.dll」「.exe」「.ocx」「.com」ファイルを削除する。それから自身を隠しファイル「Rundll32.exe」としてCドライブにコピーするほか、Kazaaの共有フォルダに「Windows XP KeyGen 2.5.exe」としてコピーする。

 次にレジストリ情報を以下のように書き換える。これにより、各種ファイルが起動するたびにウイルスが呼び出されることになる。

<filename of worm> %1
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_CLASSES_ROOT\htafile\shell\open\command
HKEY_CLASSES_ROOT\htfile\shell\open\command

さらに、レジストリを以下のように書き換える。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"MediaPath"="C:\Proyecto1.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"Rundll32.exe"="C:\Rundll32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX
"DevicePath" ="C:\Proyecto1.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SETUP
"NetCache"="C:\Proyecto1.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
"ProxyDevice"="C:\Proyecto1.exe"

HKEY_CURRENT_USER\Software\kIlLeRgUaTe 1.03

 最後に「エラーが発生しました。Microsoftにエラーを通知しますか」というメッセージが表示される。「Send Error」を選んだ場合、偽のエラーログが表示される。メッセージをキャンセルした場合、再度メッセージが表示される。「Send and Close」を選んだ場合、複数のコントロールパネルが表示され、CD-ROMドライブが開き、ウイルス作者からのメッセージが表示される。このメッセージは動かしたり消したりすることができない。そのほか、システムトレイやタスクバーが使えなくなり、Cドライブが隠蔽される。また、ユーザーの設定したパスワードをランダムに変更する。

 万が一感染してしまった場合には、Windowsが起動できない可能性が高いため、OSのクリーンインストールを行なう必要がある。起動できる場合は、Windows XP/Meではシステムのレストア機能を切り、最新のウイルス定義ファイルを使ってスキャンし、W32.Gruel@mmとして検出されたファイルを削除する必要がある。

(2003/7/15)

[Reported by okada-d@impress.co.jp]

INTERNET Watchホームページ
INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.