Internet Watch logo
記事検索
最新ニュース

IEやOEの脆弱性を悪用し、リンクをクリックするだけで感染するウイルス

~件名が「Re:」で本文に「yahoo.com」のリンクがある場合は要注意

 トレンドマイクロは12日、Internet Explorer(IE)やOutlook Express(OE)の脆弱性を悪用するウイルス「Wallon.A」を警告した。トレンドマイクロでは危険度“中”と評価している。

 Wallon.Aはトロイの木馬型不正プログラムで、任意の宛先にHTML形式のメールを送信するマスメーリング型の感染活動を行なう。IEやOEの脆弱性を悪用し、メール本文中のリンクをクリックしただけで、ウイルスプログラムが実行され、感染してしまうのが特徴だ。12日現在、ドイツを中心としたヨーロッパや中東、アフリカ地域で流行が確認されているという。

 Wallon.Aのウイルスメールの本文部分には、URLが「http://drs.yahoo.com/<受信者のドメイン名>/NEWS」と表示されているが、実際にそのURLをクリックすると「http://www.security<略>-warning.biz/personal6/maljo24/www.YAHOO.com/」という悪意のあるWebサイトにリダイレクトされ、ウイルスプログラムがダウンロードおよび実行される仕組み。この際に、IEの脆弱性「MS04-004」とOEの脆弱性「MS04-013」が悪用されており、ユーザーが意図せずにウイルスが実行されてしまう。

 Wallon.Aに感染すると、「OLE error 8004010F.」と書かれたエラーメッセージが表示された後に自分自身をコピーし、レジストリを改変する。続いて、Windowsのアドレス帳を参照してメールアドレスを収集し、メールを送信する。送信するメールの内容は以下の通り。

送信者:<ユーザアカウント>

件名:Re:

本文:
 http://drs.yahoo.com/<受信者のドメイン名>/NEWS
  250.2.6.0 Queued mail for delivery QUIT 221.2.0.0
 pdc.Fishinet.com Service closing transmission channel

 Wallon.Aに感染した場合、Windows Media Playerが上書きされてしまう可能性があるため、ウイルス対策ソフトでウイルス「Wallon.A」を駆除した後に、「アプリケーションの追加と削除」でWindows Media Playerを再インストールしなければならないという。


関連情報

URL
  Wallon.A
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_WALLON.A

関連記事
任意コードの実行が可能な脆弱性を含むOutlook Express用累積的パッチ(2004/04/14)
URLを偽装できる脆弱性を修正したIEの累積的修正プログラム公開(2004/02/03)


( 大津 心 )
2004/05/12 14:43

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.