■URL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K
http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Frethem.k@MM
http://www.ipa.go.jp/security/topics/newvirus/frethem.htm
http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.frethem.j@mm.html
http://www.sophos.co.jp/virusinfo/analyses/w32frethemfam.html
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
「Frethem」を受信した際の外観 |
トレンドマイクロやシマンテックなどウィルス対策ベンダー各社は15日、プレビューしただけで感染する可能性のあるウィルス「Frethem」の危険性を警告した。トレンドマイクロによると、このウィルスは15日に発見され、17時30分現在、国内で44件の感染が報告されている。
今回発見されたウィルス「Frethem」は、2002年5月30日に発見されたウィルス「Frethem.A」の亜種となる。特徴としては、InternetExplorerの5.01や、SP2以外の5.5に存在する脆弱性(MS01-020)を利用して、メールをワンクリック・プレビューしただけで感染する「ダイレクトアクション活動」を行なう点だ。
感染後の活動としては、自身をWindowsディレクトリーにコピーし、レジストリーを書き換え、Microsoft Outlook Expressメールボックスファイル(.DBXファイル)、Windowsアドレス帳(.WABファイル)、MDBファイルなどから、メールアドレスを収集して、送信を行なう。
送信の際、Subject欄は「Re: Your password!」となっており、本文は「ATTENTION!」から始まる文章となっている。また、添付ファイルは「Decrypt-password.exe」と「Password.txt」の二つが添付されており、「Password.txt」には「Your password is W8dqwq8q918213」と書かれている。
15日19時現在、シマンテックのウィルス対策ソフトでは、まだこのウィルスに対応したウィルス定義ファイルが提供されていない。従って、このウィルスを受信した際でも、アンチウィルスソフトは反応しないので、十分な注意が必要だ。対策としては、MS01-020のパッチをあてることや、IE6.0へアップデートするなどの必要がある。
このように、アンチウィルスソフトでは検出できない可能性が高いため、「Frethem」に感染しているかどうかを調べるためには、下記の作業が必要だ。
・スタート→検索→ファイルやフォルダから「taskbar.exe」を入力し、検索する
・発見された場合には、「Frethem」に感染しているため、「taskbar.exe」の削除および、レジストリーの修正が必要だ。
なお、トレンドマイクロやネットワークアソシエイツでは、15日19時頃「Frethem」に対応したウィルス定義ファイルの配布を開始したので、最新のウィルス定義ファイルに更新することで対応が可能だ。
(2002/7/15)
[Reported by otsu-j@impress.co.jp]