以下のバージョンのマイクロソフト社の InternetExplorer と Outlook/OutlookExpress を使用しているWindows パーソナルコンピュータ（※1）：

• Internet Explorer 5.01, 5.01 SP1
• Internet Explorer 5.5, 5.5 SP1

※1:このウイルスは、Windows上で動作するウイルスです。InternetExplorer、Outlook/OutlookExpressを使用していなくても、ウイルスメールの添付ファイルを実行（ダブルクリック）すると、Windowsマシンでは感染被害に遭いますので、注意して下さい。

下記「検出の際の特徴点」に該当する電子メールを受け取った場合、OutlookExpressではプレビューしただけで感染してしまう可能性があります。

OutlookExpressを起動し、ローカルフォルダを選択して、メニューバーから [表示] - [レイアウト] で「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、「プレビューウィンドウを表示する」のチェックを外してプレビューウィンドウが表示されないようにしてから、メールを削除してください。

MS01-020 のセキュリティホールを利用し、Outlook では開いたとき、OutlookExpress ではプレビューしただけで感染するワームです。

感染すると MAPI（ Messaging API ）の機能を利用し、受信トレイの未読メールを探し、その返信として自身を添付してメールを送信します。またコンピュータ上の拡張子が.ASP, .HTM, .HTMLなどのファイルの中のメールアドレスを宛先にして自身を添付したメールを送信することもあります。また、同一のアドレスに二重に送信しないようにPROTOCOL.DLL ファイルに送信したメール情報を格納します。

感染すると、自身をシステムディレクトリに KERNEL32.EXE の名前でコピーすると同時に、コンピュータの再起動時にワームが再実行されるように以下のようにレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce\kernel32=kernel32.exe

更に、キーボード操作を記録するトロイの木馬 KDLL.DLL をインストールします。キーボード操作の記録は、CP_25389.NLS ファイルに格納され、このウイルス作者にメール送信されます。

メールの送信者：

• パターン1: 先頭に '_' (アンダースコア) が付いたアドレス
  • 例えば、"Name" <_address @ipa.go.jp>のようになります。
• パターン2: 以下のアドレスのいずれかの場合もあります。
  • " Anna" <aizzo@home.com>
  • "JUDY" <JUJUB271@AOL.COM>
  • "Rita Tulliani" <powerpuff@videotron.ca>
  • "Tina" <tina0828@yahoo.com>
  • "Kelly Andersen" <Gravity49@aol.com>
  • " Andy" <andy@hweb-media.com>
  • "Linda" <lgonzal@hotmail.com>
  • "Mon S" <spiderroll@hotmail.com>
  • "Joanna" <joanna@mail.utexas.edu>
  • "JESSICA BENAVIDES" <jessica@aol.com>
  • " Administrator" <administrator@border.net>
  • " Admin" <admin@gte.net>
  • "Support" <support@cyberramp.net>
  • "Monika Prado" <monika@telia.com>
  • "Mary L. Adams" <mary@c-com.net>
  • " Anna" <lindaizzo@home.com>
  • "JUDY" <JUJUB@AOL.COM>
  • "Tina" <tina08@yahoo.com>

メールの件名：

• パターン1: "Re:" のみ
• パターン2: 先頭に 'Re:' が付く、以前に送ったメールの返信の件名
• パターン3: 空の件名

メールの本文：

• 空の本文

添付ファイル名：

• 以下の単語の組合せで、拡張子が2重についています。

  ｘｘｘｘｘｘ.yyy.zzz

  最初のxxｘｘｘxは、

  fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP,stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, Pics, SEARCHURL, S3MSONG

  のうちから任意の１つ。

  2番目のyyyは、DOC, MP3 から任意の１つ。

  最後のzzzは,  pif, scr から任意の１つ。

  例えば、 Sorry_about_yesterday.DOC.pif  や　Humor.MP3.scr　という添付ファイル名になります。

感染してしまった場合の修復方法は、下記のようなレジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。無償の修復ツール(※2)がワクチンベンダーから配布されているので、そちらを使う方法も有効です。

1. Windowsをsafeモードで起動して、ウイルスが追加した以下のレジストリ値を削除します。

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
   \CurrentVersion\RunOnce\Kernel32=kernel32.exe

2. 次に、ワクチンソフトでフルスキャンし、検出したファイルを削除します。ファイルが削除できない場合は、検出したファイルの名前を変更し、レジストリ設定の削除を確認後リブートしてから、名前を変更したファイルを削除します。
3. 今後、再感染しないように以下の予防策をとります。

※2． 以下のURLに、修復ツールがあります。
注）ツールを使う場合には、各ベンダーが記述している「使用上の注意等」をよく読み、自己の責任において使用してください。

• トレンドマイクロ:
  http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
• シマンテック:
  http://www.symantec.co.jp/region/jp/sarcj/data/w/
  w32.badtrans.b%40mm.fix.html

ブラウザ（InternetExplorer）にパッチを適用する。

InternetExplorer　5.01の場合、SP2を適用する。
InternetExplorer　5.5の場合、SP2を適用する。

（パッチの適用方法については、マイクロソフト社のサイトでご確認ください。：マイクロソフト社　「セキュリティ対策ガイド」のページ ）

あるいは最新の InternetExplorer 6.0 をインストールする。
(注： 必ず、Outlook Expressを含む標準構成以上でセットアップすること。）

ワクチンソフトウェアベンダー提供の情報（日本語）

• シマンテック：
  http://www.symantec.co.jp/region/jp/sarcj/data/w/
  w32.badtrans.b%40mm.html
• トレンドマイクロ：
  http://www.trendmicro.co.jp/virusinfo/
  default3.asp?VName=WORM%5FBADTRANS%2EB
• 日本ネットワークアソシエイツ：
  http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
• ソフォス株式会社：
  http://www.sophos.co.jp/virusinfo/analyses/w32badtransb.html
• 日本エフ/セキュア ：
  http://www.f-secure.co.jp/v-descs/v-descs2/badtrs_b.htm

ウイルス対策のトップページはこちらをご覧ください。