● 毎月3日にファイルを改竄するウイルスが発生
今のところ日本ではそれほど多く報告されていないが、今月に入って米国、インド、トルコ、ペルーなどを中心に世界各地で「毎月3日にPC内部のファイルを破壊する」ウイルスの感染が報告されている。このウイルスは「Blackworm」「Nyzem.E」「MyWife.E」などと命名されたワーム型ウイルスだ。メールの添付ファイルあるいはネットワークの共有ファイルとしてばらまかれる。そして、発病日を迎えるまでは静かに増殖活動のみを行ない、明日2月3日以降、毎月3日にPC内のファイルを破壊するという。
ウイルスの伝播方法などから考えて、日本で流行している可能性はさほど大きくないと思える。しかし、WordやExcel、PowerPoint、Access、PDFなどのデータファイルをことごとく破壊して回るので、PC内に保管しておいたビジネス文書が失われてしまう恐れもあることから、ウイルス対策ベンダーだけでなく、マイクロソフトでもセキュリティアドバイザリで警戒を呼びかけている。念のために発病前日(つまり本日中)に、ウイルス対策ソフトではパターンファイルの更新とPC内のフルスキャン、それからオリジナル文書のバックアップなど一通りの対策をしておくべきだろう。
● BlackWormの概要
このBlackWormは、ウイルス対策ベンダーによって名称はバラバラで、Nyxem.E、MyWife.e、Blackmal.E、WORM_GREWと命名されている。US-CERTでは共通IDとして「CME-24」を割り当てている。
■URL
SANS InstituteによるBlackWormの警告(英文)
http://isc.sans.org/diary.php?storyid=1067
CME-24(英文)
http://cme.mitre.org/data/list.html#24
トレンドマイクロによるウイルス情報(WORM_GREW.A)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FGREW%2EA
シマンテックによるウイルス情報(W32.Blackmal.E@mm)
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.blackmal.e@mm.html
マカフィーによるウイルス情報(W32/MyWife.d@MM!M24)
http://www.mcafee.com/japan/security/virM.asp?v=W32/MyWife.d@MM!M24
ソフォスによるウイルス情報(W32/Nyxem-D)
http://www.sophos.co.jp/virusinfo/analyses/w32nyxemd.html
F-Secureによるウイルス情報(Nyxem.E)
http://www.f-secure.co.jp/v-descs/v-descs3/nyxem-e.htm
マイクロソフトのセキュリティアドバイザリ(Win32/Mywife.E@mm)
http://www.microsoft.com/japan/technet/security/advisory/904420.mspx
マイクロソフトやF-Secureなどによると、メールの題名は「A Great Video」「Arab sex DSC-00465.jpg」「*Hot Movie*」など、内容は「i just any one see my photos. It's Free :)」など。一見、英文のポルノ系スパムメールを思わせるメールだ。
このメールにはPIFファイル、SCRファイルが添付されており、これがウイルスプログラム本体だ。これらのファイルを閲覧しようとするとファイルが実行されてしまい、毎月3日までほかのPCにウイルスメールをばらまき続ける。
このウイルスはネットワーク内のファイル共有でも感染する。もし、ネットワーク上の他のPCにAdministrator権限でパスワードなしで入ることができる場合、そのPCの「\Admin$」「\c$」「\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\」といった共有フォルダに「WINZIP_TMP.exe」「\WinZip Quick Pick.exe」というファイル名でファイルを置いていくようだ。スタートアップフォルダに実行ファイルであるウイルスプログラムが置かれてしまうため、このPCを再起動した場合、ウイルスプログラムが活動を始めてしまうことになる。
また、2月3日以降、毎月3日には、PCから認識できるドライブの拡張子がdoc、xls、ppt、pdf、mdb、zip、rarになっているファイルをすべて破壊する。具体的には「DATA Error [47 0F 94 93 F4 K5]」という内容のテキストファイルに置き換える。
接続されているドライブ中のファイルはすべて書き換えるため、CドライブやDドライブなどの内蔵HDDだけでなく、USBメモリやネットワークドライブに対しても破壊活動を行なうという。
● 本日中に必要な対策は「ウイルススキャン」と「バックアップ」
ウイルス対策ベンダーやマイクロソフトからの情報を読む限り、日本のユーザーが被害に遭う可能性は低そうだが、もしPCがウイルス感染した場合、会社のネットワーク中の全ビジネス文書などを失いかねない。本日中に、以下のようなウイルス対策をしておくことをお勧めしたい。
・ウイルス対策ソフトを使用し、ウイルスをスキャン・駆除する
まず、使用しているウイルス対策ソフトのウイルスパターンファイルを最新のものに更新し、ファイルスキャンを行なう。
多くのウイルス対策ソフトでは、1月20日前後にこのウイルス用のパターンファイルを追加しており、ここ1週間以内にファイルスキャンをかけている方であれば、万が一感染していたとしても駆除されている可能性が高い。が、念には念を入れて、最新のパターンファイルでスキャンしておくといいだろう。なお、シマンテックなどでは、このウイルス専用の駆除ツールも配布している。
■URL
シマンテックの駆除ツール
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.blackmal@mm.removal.tool.html
ちなみに、ネットワークドライブ経由の感染では、Blackwormがウイルス対策ソフトの有無をチェックし、そのPCにウイルス対策ソフトがインストールされている場合、ネットワークドライブ経由での感染は行なわないようなロジックが組まれているという報告がある。事前に感染を防ぐ意味でも、ウイルス対策ソフトのインストールは有効だ。
・PCのパスワードをチェックする
管理者アカウントなどPCのアカウントにパスワードが設定されていない、もしくは簡単なパスワードになっているなど、この際に各PCのパスワードをチェックしておくべきだ。Blackwormの場合、ネットワーク経由でPCのフォルダにアクセスし、管理者パスワードが設定されていない場合、ネットワークドライブにウイルスプログラムをコピーするからだ。
・不用意にネットワークにドライブを公開していないかチェックする
ファイル共有は便利な機能だが、むやみにネットワークにさらしていないか、特にCドライブにアクセスが可能になっていないかもう一度確認すべきだろう。
・オリジナル文書はバックアップを
上記対策はウイルスに感染しない、もしくは発病しないための対策だが、資産の保全という意味でのリスク対策としてファイルのバックアップもお勧めしたい。特に社内文書や自分で作った文書など、それを削除されるとコピーが存在しないような文書ファイルにはバックアップが有効だ。
なお、このウイルスは、発病したときに接続しているすべてのドライブのdocやxlsなどのファイルを削除しようとする。つまり、PC中の文書がウイルスに破壊されて「あれ、おかしいな」とUSBメモリにコピーしたファイルを参照しようとすると、そのとたんにコピーしたファイルも破壊されるという事態が考えられるわけだ。
万が一、PCがウイルス感染していた場合、バックアップメディアの接続は慎重に行なおう。できれば物理的に削除が不可能なメディア(CD-Rなど)に保存したほうがいい場合もある(ビジネス文書の場合は、CDなどに保存した後の管理も負担になるかもしれないが)。このほか、感染したPCが存在するネットワークにUSBメモリを公開すると、USBメモリの内容をリモートの感染PCから消される恐れもあるので注意しよう。
関連情報
■関連記事
・ 2月3日にPC内のファイルを破壊するウイルス「BlackWorm」が拡大~SANS警告(2006/01/25)
( 大和 哲 )
2006/02/02 14:15
- ページの先頭へ-
|