Internet Watch logo
記事検索
最新ニュース

Microsoftからのアップデートプログラムに偽装したウイルス「Swen」


 日本ネットワークアソシエイツ(NAC)や米Symantecなどのウイルス対策ベンダー各社は、Microsoftからのアップデートプログラムに偽装して感染活動を行なうウイルス「Swen.A」を警告した。また、CIACも危険度を「HIGH」として、ウイルスを実行しないよう呼びかけている。

 Swen.Aは、「Gibe.B」に非常によく似たウイルス。ウイルスを実行すると「Microsoft Internet Update Pack」という名前の一連のメッセージボックスを表示しながら、ウイルスのインストールを行なう。ウイルス本体は、Windowsディレクトリにランダムな名前でコピーされる。また、各種セキュリティソフトを実行不可にする。

 そのほか、ユーザーIDやパスワード、SMTPサーバー、POP3サーバーの入力を促す「MAPI32 Exception」という名前のダイヤログボックスを表示し、ユーザーからこれらの情報を収集しようとする。

 また、Windowsディレクトリに「Germs0.dbv」と「Swen1.dat」、コンピュータネームをつけた.batファイル、ランダムな名前をつけた.cfgファイルが作成される。Germs0.dbvは取得したメールアドレスリスト、Swen1.datはリモートのニュースサーバーやメールサーバーのリストになっている。

 さらにレジストリ情報の改変も行ない、PCの起動時やBAT、COM、EXE、PIF、REG、SCRの各ファイルが実行される時に、ウイルスを実行するようにする。また、以下のレジストリ情報を変更し、RegEditの実行を不可にする。

場所:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System
値 :"DisableRegistryTools" = 01 00 00 00

 なお、NACでは、RegEditを再び使えるようにするための専用ツール「UNDO.REGツール」の配布を行なっている。

 感染活動は、Microsoftからの修正プログラムを装ったメール送信のほか、Kazaaなどのファイル共有ソフト、IRC、ネットワーク共有などを通じて行なわれる。万が一感染してしまった場合、Windows XP/Meではシステム復元機能を停止した上で、最新のウイルス定義ファイルを用いてスキャンし、「Swen.A」として発見されたファイルをすべて削除する。その後、改変されたレジストリ情報を修正する必要がある。


関連情報

URL
  日本ネットワークアソシエイツのセキュリティ情報
  http://www.networkassociates.com/japan/security/virS.asp?v=W32/Swen@MM
  米Symantecのセキュリティ情報(英文)
  http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.a@mm.html
  CIACのセキュリティ情報(英文)
  http://www.ciac.org/ciac/bulletins/n-153.shtml
  関連記事:セキュリティ関連会社、mIRCやKazaaを通じて広がる新種ウイルス「GIBE」を警告
  http://internet.watch.impress.co.jp/www/article/2003/0226/gibe.htm


( 岡田大助 )
2003/09/19 12:37

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2003 Impress Watch Corporation, an Impress Group company. All rights reserved.