Your password!の正体
「Your password!」というメールを送りつけてくるウイルスはなんというウイルスですか? その症状など,詳細を教えてください。
そのようなメッセージを送るワームはいくつかあるようですが,質問された6月という時期から考えると,W32.Frethem.
B@mmまたはWORM_FRETHEM.Bと呼ばれるワームではないかと考えられます。これは2002年6月初頭に発見されたばかりで,今が流行している最中だからです。
メールを通じて感染するよくあるタイプのワームで,サブジェクトに「 Re: Your password!」と記され,メYour password placed
in password.txt yourpassword.exeモ(プログラム本体)とメpassword.txtモという2個の添付ファイルが送られてきます。
このワームはよく知られた「不適切なMIMEヘッダが原因でInternet Explorerが電子メールの添付ファイルを実行する(MS
01-020)」というセキュリティホールを利用しているため,セキュリティホールが修正されていないInternet ExplorerとOutlook Expressの組み合わせでは,受信してメールを見ただけでプログラム本体が実行され,PCに感染してしまいます。Service
Pack 2(以下SP2)以降のInternet Explorer 5.01/5.5か,Internet Explorer 6以降ならば見ただけでは感染しませんが,ユーザーが誤って実行すれば同じように感染します。
感染後,ユーザーのアドレス帳からメールアドレスを取り出し,レジストリを参照してSMTPサーバーを調べ,自らのコピーをほかに送信し感染活動を行います。さらに,自分自身をスタートアップメニューにコピーして,Windows起動時に常駐する仕掛けが施されてしまいます。幸い破壊活動は行わないもようですが,いったん感染すると駆除するまで常駐し続けるので注意が必要です。
現行のほとんどのウイルス対策ツールが対応済みですから,感染したらすぐにツールを使って駆除してください。また,Internet Explorer 5.01/5.5のユーザーはバージョンをSP2に引き上げたうえで,最新のセキュリティパッチを実行してください。さらに,「Re:Your
password!」というタイトルの添付ファイル付きのメールを受信したら,絶対にファイルを実行せずに捨てるようにしましょう。
また,7月12日にW32.Frethem.B@mm(WORM_FRETH
EM.B)の新たな変種として,W32.Frethem.K@mm(WORM_FRETHEM.K)が発見されました。W32.Frehem.B@
mmに類似していますが,「Your password!」というサブジェクトとともに次のような本文が記されています。
ATTENTION! You can access very important informati
on by this password DO NOT SAVE password to disk use your mind now press cancel
このメールにはDecrypt-password.exeとpassword.txtの二つのファイルが添付されていて,前者(EXEファイル)を実行すると感染するほか,W32.Frethem.B@mmと同様にInternet
Ex
plorerのセキュリティホールを利用した,自動実行による感染のトラップが仕掛けられています。感染後は自らの感染活動を行うのに加え,多数の広告サイトへのアクセスを試みるという情報もあります。この原稿を書いている7月15日時点で猛烈な勢いで感染を広げているようですから,十分に注意してください。
(米田 聡)