～IEの脆弱性を利用してプレビューしただけで感染

シマンテック、ウィルス「Brid」を危険度3として警告

■URL
http://www.symantec.com/region/jp/sarcj/data/w/w32.brid.a@mm.html
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/JAPAN/technet/security/bulletin/ms01-020.asp
http://www.symantec.com/region/jp/sarcj/data/w/w32.brid.removal.tool.html

「W32.Brid.A@mm」を警告するサイト

　株式会社シマンテックは18日、同社が11月4日に発見した大量メール配信型ウィルス「W32.Brid.A@mm（以下、Brid）」の被害報告が増えていることから危険度（5段階）を2から3へ引き上げたと発表した。

　Bridは、Internet Explorerの既知の脆弱性「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する（MS01-020）」を利用して、このウィルス付きのメールをプレビューしただけで自動的にプログラムを実行して感染する。感染後はOutlookに登録されているアドレス帳など宛てにメールを送信する。シマンテックでは、被害状況とダメージを“中”、感染力を“高”として警告している。ただし、「MS01-020」には既にパッチが提供されているので、パッチを導入していればプレビューしただけでは感染しない。

　特徴的なのは、感染後送信するメールに自分自身を添付し、差出人や件名、本文に感染者のPCに登録されている「ユーザー名」、「会社名」、「OSのバージョン、ID、プロダクトキー」などの情報を記載して送信する情報漏えい機能を搭載している点だ。送信先は、Outlookに登録されているアドレス帳に加えて「Webページのキャッシュファイルにある全メールアドレス」にも送信する。送信の際には独自のSMTPエンジンを利用して、直接メールサーバーに接続しようとするという。その際のメールは、

件名：[Windowsに登録されている会社名]

添付ファイル: Readme.exe

となっているので、上記の条件に当てはまるメールが来た際には、細心の注意が必要だ。また、感染後はレジストリーの改変なども行ない、Windows起動時に毎回自分が起動するように変更する。シマンテックによると、Bridによる感染者は、18日の16時現在全世界で750件、日本国内では13件だという。

　シマンテックでは、11月15日にBridの自動駆除ツールを提供しており、万が一ウィルス対策ソフトなどで感染が発覚した場合はこのツールを利用して駆除する必要がある。

(2002/11/18)

[Reported by otsu-j@impress.co.jp]