HOME情報セキュリティ情報セキュリティ対策ウイルス対策「W32/Badtrans」ウイルスの亜種に関する情報

本文を印刷する

情報セキュリティ

「W32/Badtrans」ウイルスの亜種に関する情報

2001年11月27日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

※追記すべき情報がある場合には、その都度このページを更新する予定です。

「W32/Badtrans」ウイルス依然として蔓延 !!

11月30日までに寄せられた「W32/Badtrans」ウイルスの届出・相談は合わせて800件以上になっています。
このウイルスがかなり蔓延している状況であると思われるので、再度注意を促す警告文を出しています。

「W32/Badtrans」ウイルスの届出急増 !!

「W32/Badtrans」ウイルスの届出・相談が急増しています。
11月28日(15:00現在)で届出・相談合わせて300件以上になっています。

このウイルスは、InternetExplorerのセキュリティホールを悪用しているため、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでもウイルスが動作します。
InternetExplorer、Outlook/OutlookExpressユーザの方は、下記の情報を参照して、速やかにセキュリティホールを解消して下さい。
また、感染すると、パスワード等が盗まれる可能性があります。感染した場合は、ウイルスを修復した後、パスワード等を変更しておくことをお薦めします。

IPA/ISEC には W32/Badtransウイルスの亜種( W32/Badtrans.B ウイルス)に関する相談・届出が多数寄せられております。(11/27 17:00 時点で 115件

このウイルスは、電子メールに関する MAPI( Messaging API )の機能を利用するとともに、InternetExplorer の既知のセキュリティ脆弱性を攻略して自己増殖するワームです。さらに、ユーザのキーボード操作を記録するトロイの木馬が移植されるので、感染した場合にはウイルスの作者によって情報セキュリティが侵害される可能性があります。

:このウイルスは、11月23日前後から英国を中心に世界的に感染が広まっています。最新のワクチンソフトの定義ファイルを更新していないと発見・駆除ができないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

対象となるコンピュータ

以下のバージョンのマイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用しているWindows パーソナルコンピュータ(※1):

  • Internet Explorer 5.01, 5.01 SP1
  • Internet Explorer 5.5, 5.5 SP1

※1:このウイルスは、Windows上で動作するウイルスです。InternetExplorer、Outlook/OutlookExpressを使用していなくても、ウイルスメールの添付ファイルを実行(ダブルクリック)すると、Windowsマシンでは感染被害に遭いますので、注意して下さい。

緊急措置

下記「検出の際の特徴点」に該当する電子メールを受け取った場合、OutlookExpressではプレビューしただけで感染してしまう可能性があります。

OutlookExpressを起動し、ローカルフォルダを選択して、メニューバーから [表示] - [レイアウト] で「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、「プレビューウィンドウを表示する」のチェックを外してプレビューウィンドウが表示されないようにしてから、メールを削除してください。

概要

MS01-020 のセキュリティホールを利用し、Outlook では開いたとき、OutlookExpress ではプレビューしただけで感染するワームです。

感染すると MAPI( Messaging API )の機能を利用し、受信トレイの未読メールを探し、その返信として自身を添付してメールを送信します。またコンピュータ上の拡張子が.ASP, .HTM, .HTMLなどのファイルの中のメールアドレスを宛先にして自身を添付したメールを送信することもあります。また、同一のアドレスに二重に送信しないようにPROTOCOL.DLL ファイルに送信したメール情報を格納します。

感染すると、自身をシステムディレクトリに KERNEL32.EXE の名前でコピーすると同時に、コンピュータの再起動時にワームが再実行されるように以下のようにレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce\kernel32=kernel32.exe

更に、キーボード操作を記録するトロイの木馬 KDLL.DLL をインストールします。キーボード操作の記録は、CP_25389.NLS ファイルに格納され、このウイルス作者にメール送信されます。

検出の際の特徴点

メールの送信者:

  • パターン1: 先頭に '_' (アンダースコア) が付いたアドレス
    • 例えば、"Name" <_address @ipa.go.jp>のようになります。
  • パターン2: 以下のアドレスのいずれかの場合もあります。
    • " Anna" <aizzo@home.com>
    • "JUDY" <JUJUB271@AOL.COM>
    • "Rita Tulliani" <powerpuff@videotron.ca>
    • "Tina" <tina0828@yahoo.com>
    • "Kelly Andersen" <Gravity49@aol.com>
    • " Andy" <andy@hweb-media.com>
    • "Linda" <lgonzal@hotmail.com>
    • "Mon S" <spiderroll@hotmail.com>
    • "Joanna" <joanna@mail.utexas.edu>
    • "JESSICA BENAVIDES" <jessica@aol.com>
    • " Administrator" <administrator@border.net>
    • " Admin" <admin@gte.net>
    • "Support" <support@cyberramp.net>
    • "Monika Prado" <monika@telia.com>
    • "Mary L. Adams" <mary@c-com.net>
    • " Anna" <lindaizzo@home.com>
    • "JUDY" <JUJUB@AOL.COM>
    • "Tina" <tina08@yahoo.com>

メールの件名:

  • パターン1: "Re:" のみ
  • パターン2: 先頭に 'Re:' が付く、以前に送ったメールの返信の件名
  • パターン3: 空の件名

メールの本文:

  • 空の本文

添付ファイル名:

  • 以下の単語の組合せで、拡張子が2重についています。

    xxxxxx.yyy.zzz

    最初のxxxxxxは、

    fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP,stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, Pics, SEARCHURL, S3MSONG

    のうちから任意の1つ。

    2番目のyyyは、DOC, MP3 から任意の1つ。

    最後のzzzは,  pif, scr から任意の1つ。

    例えば、 Sorry_about_yesterday.DOC.pif  や Humor.MP3.scr という添付ファイル名になります。

駆除方法

感染してしまった場合の修復方法は、下記のようなレジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。無償の修復ツール(※2)がワクチンベンダーから配布されているので、そちらを使う方法も有効です。

  1. Windowsをsafeモードで起動して、ウイルスが追加した以下のレジストリ値を削除します。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\RunOnce\Kernel32=kernel32.exe

  2. 次に、ワクチンソフトでフルスキャンし、検出したファイルを削除します。ファイルが削除できない場合は、検出したファイルの名前を変更し、レジストリ設定の削除を確認後リブートしてから、名前を変更したファイルを削除します。
  3. 今後、再感染しないように以下の予防策をとります。

※2. 以下のURLに、修復ツールがあります。
注)ツールを使う場合には、各ベンダーが記述している「使用上の注意等」をよく読み、自己の責任において使用してください。

予防策

ブラウザ(InternetExplorer)にパッチを適用する。

InternetExplorer 5.01の場合、SP2を適用する。
InternetExplorer 5.5の場合、SP2を適用する。

(パッチの適用方法については、マイクロソフト社のサイトでご確認ください。:マイクロソフト社 「セキュリティ対策ガイド」のページ )

あるいは最新の InternetExplorer 6.0 をインストールする。
(注: 必ず、Outlook Expressを含む標準構成以上でセットアップすること。)

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2001年11月27日 掲載
2001年11月27日 検出の際の特徴点と相談・届出件数の更新
2001年11月28日 届出・相談件数の急増による警告
2001年11月29日 レジストリ修復ツールの情報追加
2001年11月30日 届出・相談件数の急増による再警告、修復ツールの情報追加
2002年 1月08日 ワクチンベンダー情報へのリンク修正
2002年 3月28日 ワクチンベンダー情報へのリンク修正
2004年 3月12日 リンク修正