ISEC

最終更新日:2000年11月 9日


感染被害が深刻な「W32/MTX」に関する情報


2000年 9月22日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

 W32/MTXウイルスの感染被害が激増しているので、注意してください。
 
(2000年10月の届出件数は、223件とウイルス別では最高を記録)
 一度感染すると、修復にはハードディスクの初期化が必要で被害は深刻!!

 このウイルスは、メールに添付されてくるウイルスファイルを実行(ダブルクリック)することにより感染する、ファイル感染型ウイルスです。
 別紙リストに掲載されている名称の添付ファイルを受け取ったときは、絶対に実行(ダブルクリック)しないで下さい。
 また、相手方が感染に気づいていない場合がほとんどです。MTXウイルスが送られてきたときには、相手方に感染していることを知らせるとともに、下記の情報を連絡して下さい。

 以下に、今後の被害を防ぐための予防対策と万一感染・発病してしまった場合の対応策について、お知らせ致します。
 また、今後も新しい情報が確認でき次第、本ページに掲載する予定です。

●ウイルスの概要

 ウイルスに感染したファイルを実行(ダブルクリック)すると、次のような症状が現れます。

 (1)ウイルスの複製および関連ファイルの作成
 (2)WSOCK32.DLLファイルを改変
 (3)システム起動時に、ウイルスが実行されるようにレジストリを変更
 (4)ウイルスによるメールの自動送信
      (W32/Ska(俗称Happy99)と同様の方法で、メール送信時に、同じ宛先にもう1通、ウイルスを添付したメールを送信する。メールソフトの種類は問わない。
   
  このウイルスに感染するとシステムで使用されている多くの重要なプログラムファイルに感染が広がります。また、感染時に感染対象のファイルを壊している可能性が高く、復旧するためには、初期化からOS等の再インストールを行わなければならないので、注意が必要です
 なお、仮にPIFファイル等を実行(ダブルクリック)してしまった場合、表面的には何事もなかったかのように見えるかもしれませんが、ウイルスが動作を行っている可能性が高いと考えられます。

以下に予防のための対策を示します。

●予防対策

 今回のウイルスは、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば被害に遭わずにすみます。別紙リストに掲載されている名称の添付ファイルを受け取ったときは、絶対に実行(ダブルクリック)しないで下さい。
以下に予防のための対策を示します。

 1.メールの添付ファイルを不用意に実行しない。
   メールに添付されている不審なファイルを実行(ダブルクリック)しないこと。

   メールの添付ファイルの取り扱い5つの心得

 2.最新のワクチン及びウイルス定義ファイルを利用する。
   各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。 

   主なワクチンベンダーのWebサイト等一覧 

 3.ワクチンソフトの検査対象に、scrpifの拡張子を追加する。
   下記サイトの設定方法に関する情報を参照してください。

   主なワクチンソフトの検査対象の設定方法


 なお、PIFファイルは、ファイルの拡張子を表示する状態に設定されていても、Windows上では拡張子が表示されません。したがって、ファイル名が○○○○.TXT.pifの場合、○○○○.TXTと表示され、テキストファイルと見誤ってしまうと思われますので、注意が必要です。以下の「PIFファイルの見分け方」で確認してください。

●メール上でのPIFファイルの見分け方

(1)添付ファイルのファイル名で拡張子が.pifであれば、PIFファイルである。

(2)添付ファイルの表示がPIFアイコンになるので、それを確認する。

  PIFファイルのアイコンは、左下にショートカットを示す矢印のマークがあります。

   ・PIFファイルのアイコン vbsicon.gif (1079 バイト)     TXTアイコン


●感染・発病の概要

(1)Windowsディレクトリ(通常は、c:¥Windows)に以下のファイルを不可視属性で作成する。
  「IE_PACK.EXE」「WIN32.DLL」「MTX_.EXE」

(2)ウイルスによるメールの自動送信
  ユーザが感染したマシンでメールを送信すると、そのメールとは別に、ウイルスが、ウイルス自身を添付して、同じアドレスに、件名、本文が空白のメールを送信する。添付ファイル名は別紙の通り。 
 
(3)Windows、テンポラリ、カレントフォルダ内のPE実行型ファイル(拡張子が、.EXE、.SCR、.DLL等)に感染する。

(4)特定のワクチンベンダー等のサイトにアクセスできなくする。

●感染確認方法

 Windowsのフォルダ(通常は、c:¥Windows)に下記のファイルが存在するかどうかを確認し、もし存在していれば感染している。(注:このファイルは不可視属性になっている。)
  「IE_PACK.EXE」「WIN32.DLL」「MTX_.EXE

 なお、PIFファイルは、ファイルの拡張子を表示する状態に設定されていても、Windows上では拡張子が表示されないので、注意が必要である。
 この場合は、プロパティを見ることにより確認できる。下記例示参照。

・プロパティの確認

 @で、ファイル名が
   I_wanna_see_YOU.TXT
  と表示され、一見テキストファイルであるかのような表示となる。
 しかしながら、
 Aで、種類がMS-DOSアプリケーションへのショートカットと表示されている。
 Bで、MS-DOSファイル名の拡張子が .PIF と表示されている。
 Cで、アイコンがPIFファイルであることを示している。(このアイコンは例示であり、実際に添付されてくるファイルのアイコンは異なることがある。)


●修復に関する情報

 このウイルスに感染すると、多くのシステムファイルに感染が広がるので、システムの再インストールを行う必要があります。
 システム(Windows)の再セットアップによる修復は、ウイルスに感染したファイル等が残ってしまう可能性が高いので、必要な文書ファイル等のデータをバックアップした後、ハードディスクを初期化して、システム、アプリケーションの再インストールを行うのが安全で確実です。
 なお、ハードディスクの初期化、システム等の再インストールの方法については、マニュアルを参照されるか、お使いのパソコンまたはソフトウェアのメーカーにお問い合わせ下さい。 

注)修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。

・関連情報掲載サイト
 
 http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=PE%5FMTX%2EA
 http://www.nai.com/japan/virusinfo/virM.asp?v=W32/MTX@mm&a=M
 http://www.f-secure.co.jp/v-descs/v-descs2/mtx.htm
 http://www.symantec.com/region/jp/sarcj/data/w/w95.mtx.html
 http://www.jcsa.or.jp/w95mtx.html

 ウイルス対策のトップページこちらをご覧ください。


Copyright © 2000 Information-technology Promotion Agency, Japan. All rights reserved.