English

緊急対策情報

届出

届出ウイルス一覧

ウイルスの届出

不正アクセスの届出

脆弱性関連情報の届出

情報セキュリティ対策

ウイルス対策

新種ウイルス情報

不正アクセス対策

脆弱性関連情報の取扱い

読者層別 対策実践情報

暗号技術

CRYPTREC

セキュリティ評価・認証

JISEC

セミナー・イベント

資料・報告書等

調査・研究報告書

開発成果紹介

セキュリティ関連RFC

PKI関連技術情報

公募

IPA/ISEC PGP公開鍵

サポート情報

ウイルスデータベース

用語集

FAQ（よくある質問）

セキュリティ関連リンク

IPAセキュリティセンターについて

※追記すべき情報がある場合には、その都度このページを更新する予定です。


「W32/Badtrans」ウイルス依然として蔓延 !!

11月30日までに寄せられた「W32/Badtrans」ウイルスの届出・相談は合わせて800件以上になっています。
このウイルスがかなり蔓延している状況であると思われるので、再度注意を促す警告文を出しています。

「W32/Badtrans」ウイルスの届出急増 !!

「W32/Badtrans」ウイルスの届出・相談が急増しています。
11月28日（15:00現在）で届出・相談合わせて300件以上になっています。

このウイルスは、InternetExplorerのセキュリティホールを悪用しているため、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでもウイルスが動作します。
InternetExplorer、Outlook/OutlookExpressユーザの方は、下記の情報を参照して、速やかにセキュリティホールを解消して下さい。
また、感染すると、パスワード等が盗まれる可能性があります。感染した場合は、ウイルスを修復した後、パスワード等を変更しておくことをお薦めします。

IPA/ISEC には W32/Badtransウイルスの亜種（ W32/Badtrans.B ウイルス）に関する相談・届出が多数寄せられております。（11/27 17:00 時点で 115件）

このウイルスは、電子メールに関する MAPI（ Messaging API ）の機能を利用するとともに、InternetExplorer の既知のセキュリティ脆弱性を攻略して自己増殖するワームです。さらに、ユーザのキーボード操作を記録するトロイの木馬が移植されるので、感染した場合にはウイルスの作者によって情報セキュリティが侵害される可能性があります。

:このウイルスは、11月23日前後から英国を中心に世界的に感染が広まっています。最新のワクチンソフトの定義ファイルを更新していないと発見・駆除ができないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

ワクチンソフトに関する情報

対象となるコンピュータ

以下のバージョンのマイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用しているWindows パーソナルコンピュータ（※1）：

Internet Explorer 5.01, 5.01 SP1
Internet Explorer 5.5, 5.5 SP1

※1:このウイルスは、Windows上で動作するウイルスです。InternetExplorer、Outlook/OutlookExpressを使用していなくても、 ウイルスメールの添付ファイルを実行（ダブルクリック）すると、Windowsマシンでは感染被害に遭いますので、注意して下さい。

緊急措置

下記「検出の際の特徴点」に該当する電子メールを受け取った場合、OutlookExpressではプレビューしただけで感染してしまう可能性があります。

OutlookExpressを起動し、ローカルフォルダを選択して、メニューバーから [表示] - [レイアウト] で「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、「プレビューウィンドウを表示する」のチェックを外してプレビューウィンドウが表示されないようにしてから、メールを削除してください。

概要

MS01-020 のセキュリティホールを利用し、Outlook では開いたとき、OutlookExpress ではプレビューしただけで感染するワームです。

感染すると MAPI（ Messaging API ）の機能を利用し、受信トレイの未読メールを探し、その返信として自身を添付してメールを送信します。またコンピュータ上の拡張子が .ASP, .HTM, .HTMLなどのファイルの中のメールアドレスを宛先にして自身を添付したメールを送信することもあります。また、同一のアドレスに二重に送信しないように PROTOCOL.DLL ファイルに送信したメール情報を格納します。

感染すると、自身をシステムディレクトリに KERNEL32.EXE の名前でコピーすると同時に、コンピュータの再起動時にワームが再実行されるように以下のようにレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce\kernel32=kernel32.exe

更に、キーボード操作を記録するトロイの木馬 KDLL.DLL をインストールします。キーボード操作の記録は、CP_25389.NLS ファイルに格納され、 このウイルス作者にメール送信されます。

検出の際の特徴点

メールの送信者：

パターン1: 先頭に '_' (アンダースコア) が付いたアドレス

例えば、"Name" <_address @ipa.go.jp>のようになります。

パターン2: 以下のアドレスのいずれかの場合もあります。

" Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
" Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
" Administrator" <administrator@border.net>
" Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" <mary@c-com.net>
" Anna" <lindaizzo@home.com>
"JUDY" <JUJUB@AOL.COM>
"Tina" <tina08@yahoo.com>

メールの件名：

パターン1: "Re:" のみ
パターン2: 先頭に 'Re:' が付く、以前に送ったメールの返信の件名
パターン3: 空の件名

メールの本文：

空の本文

添付ファイル名：

以下の単語の組合せで、拡張子が2重についています。

ｘｘｘｘｘｘ.yyy.zzz

最初のxxｘｘｘxは、

fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP,stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, Pics, SEARCHURL, S3MSONG

のうちから任意の１つ。

2番目のyyyは、DOC, MP3 から任意の１つ。

最後のzzzは,  pif, scr から任意の１つ。

例えば、 Sorry_about_yesterday.DOC.pif  や　Humor.MP3.scr　という添付ファイル名になります。

駆除方法

感染してしまった場合の修復方法は、下記のようなレジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、 コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少 しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。無償の修復ツール(※2)がワクチンベンダーから配布されているので、そちらを使う方法も有効です。

1.Windowsをsafeモードで起動して、ウイルスが追加した以下のレジストリ値を削除します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce\Kernel32=kernel32.exe
2.次に、ワクチンソフトでフルスキャンし、検出したファイルを削除します。ファイルが削除できない場合は、検出したファイルの名前を変更し、レジストリ設定の削除を確認後リブートしてから、名前を変更したファイルを削除します。
3.今後、再感染しないように以下の予防策をとります。

※2． 以下のURLに、修復ツールがあります。
注）ツールを使う場合には、各ベンダーが記述している「使用上の注意等」をよく読み、 自己の責任において使用してください。

トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
シマンテック:
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.fix.html

予防策

ブラウザ（InternetExplorer）にパッチを適用する。

InternetExplorer　5.01の場合、SP2を適用する。
InternetExplorer　5.5の場合、SP2を適用する。

（パッチの適用方法については、マイクロソフト社のサイトでご確認ください。：マイクロソフト社　「セキュリティ対策ガイド」のページ ）

あるいは最新の InternetExplorer 6.0 をインストールする。
(注： 必ず、Outlook Expressを含む標準構成以上でセットアップすること。）

参考情報

ワクチンソフトウェアベンダー提供の情報（日本語）

シマンテック：
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html
トレンドマイクロ：
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM%5FBADTRANS%2EB
日本ネットワークアソシエイツ：
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
ソフォス株式会社：
http://www.sophos.co.jp/virusinfo/analyses/w32badtransb.html
日本エフ/セキュア ：
http://www.f-secure.co.jp/v-descs/v-descs2/badtrs_b.htm


ウイルス対策のトップページはこちらをご覧ください。

更新履歴

2001年11月27日　掲載
2001年11月27日　検出の際の特徴点と相談・届出件数の更新
2001年11月28日　届出・相談件数の急増による警告
2001年11月29日　レジストリ修復ツールの情報追加
2001年11月30日　届出・相談件数の急増による再警告、修復ツールの情報追加
2002年 1月08日　ワクチンベンダー情報へのリンク修正
2002年 3月28日　ワクチンベンダー情報へのリンク修正

2004年 3月12日　リンク修正