ipa_isec_logo.gif (2411 バイト)

最終更新日:2002年1月15日
掲載日:2000年11月16日


情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

新種ウイルス「W32/Navidad」に関する情報

 

EXEファイル クリック厳禁!

 「Navidad.exe」というファイルが添付されているメールを受け取ったときは、添付ファイル「Navidad.exe」を絶対に実行(ダブルクリック)することなく、速やかに削除してください。 

 このウイルスは受信トレイにある古いメールを再利用して、当該メールのTOに書かれているアドレス宛に、ウイルス自身(Navidad.exe)を添付してメールを送信することにより、感染を広げます。
 このため、通常、知り合いからのメールとして届きますし、内容も意味のある(かつて来たものと同じ)ものであるため、ウイルスメールと気づかずに、うっかり添付ファイルをクリックしてしまうというトリックに引っかかることで感染します。
 
Navidad.exe」というファイルが添付されているメールを受け取ったときは、添付ファイル「Navidad.exe」を絶対に実行(ダブルクリック)することなく、速やかに削除してください。
 また、メールの送信元がウイルス感染に気づいていないと思われますので、ウイルス感染の可能性が高い旨を連絡してください。

・追加情報(2001.1.12)


亜種 emanuel.exe という名称の添付ファイルに要注意!!

 emanuel.exeという添付ファイル名で感染を拡げる「W32/Navidad」ウイルスの亜種の届出が増えています。
 「emanuel.exe」というファイルが添付されたメールを受け取ったときは、添付ファイル「emanuel.exe」をダブルクリックすることなく速やかに削除してください。

  情報掲載サイト
     http://www.sophos.co.jp/virusinfo/analyses/w32navidadb.html
     http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FNAVIDAD%2EE


●ウイルスの概要

 このウイルスは、メールの添付ファイルとして拡がります。
 添付ファイルを実行(ダブルクリック)すると、受信トレイにあるメール(添付ファイルが1つ付いたメール)に対して、メールのTOに書かれているアドレス宛に、ウイルスファイルを添付したメールを送信します。
 添付ファイル名は「Navidad.exe」です。

naveye.jpg (1948 バイト)  注)
アイコンはメーラーにより異なります。

  ウイルスファイルを実行(ダブルクリック)すると、次のような動作を行います。

 (1)ウイルスの複製の作成
 (2)ウイルスによるメールの自動送信(現在確認が取れているのは、マイクロソフト社のOutlook、OutlookExpress)

また、次回起動時におけるウイルス動作の実行のため、レジストリを書き換えています。

  このウイルスに感染すると、exeファイル(ファイルの種類ではアプリケーションと表示されている)が使用できなくなるので、注意が必要です。
 
 添付ファイルを実行(ダブルクリック)してしまった場合、次のような症状が現れます。

1)ダイアログボックスを表示
  ×は選択できません。この時点で、既に感染しているので、OKを選択することを避けるため、電源を落としたり、Ctrl+Alt+Delキーでリセットをしても、ウイルスの動作を防ぐことはできません。

navidad1.jpg (3960 バイト)

2)OKを押すと、タスクトレイに「目」のアイコンが現れる。

navidad2.jpg (2536 バイト)


以下に予防のための対策を示します。

●予防対策

 今回のウイルスは、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば被害に遭わずにすみます。以下に予防のための対策を示します。

 1.メールの添付ファイルを不用意に実行しない。
   メールに添付されている不審なファイルを実行(ダブルクリック)しないこと。

   メールの添付ファイルの取り扱い5つの心得

 2.最新のワクチン及びウイルス定義ファイルを利用する。
   各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。 

   主なワクチンベンダーのWebサイト等一覧

●感染・発病の概要

(1)Windowsのシステムフォルダ(通常は、c:¥Windows\System)に、ウイルス自身を「Winsvrc.vxd」というファイル名でコピーします。

(2)受信トレイにあるメールに対して、「Navidad.exe」ファイルを添付した返信メールを送信します。(現在確認が取れているのは、マイクロソフト社のOutlook、OutlookExpress)

(3)exeファイル(ファイルの種類ではアプリケーションと表示されている)が使用できなくなります。

●感染確認方法

navidad4.jpg (18350 バイト)

●修復に関する情報

 このウイルスは、ファイルを破壊する等の悪質な機能はなく、レジストリを修正することなどで修復できます。
 手動によるレジストリの修正方法等については下記サイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正は少しでも間違えると、コンピュータが正常に起動しなくなる場合もありますので注意してください。レジストリを修正する場合は、必要なデータファイル等をバックアップしてから行うようにしてください。
 なお、レジストリの修正の方法については、マニュアルを参照されるか、お使いのパソコンまたはソフトウェアのメーカーにお問い合わせ下さい。 
 また、無償の修復用ツールがワクチンベンダーから配布されていますので、そちらを使う方法も有効です。なお、修復用ツールの使用方法その他に関する事項は、当該の提供ベンダー宛に問い合わせて下さい。


注)修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認してください。

関連情報掲載サイト
http://www.jcsa.or.jp/vi-w32navid.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.navidad.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Navidad@M&a=N
http://www.f-secure.co.jp/v-descs/v-descs2/navidad.htm
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FNAVIDAD%2EA
http://www.sophos.co.jp/virusinfo/analyses/w32navidad.html
 

 ウイルス対策室のトップページこちらセキュリティセンターのホームページこちらをご覧ください。


Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.