HOME >> 情報セキュリティ >> ウイルス対策 >> 記事

「W32/Fizzer」ウイルスに関する情報

最終更新日:2003年 5月14日
更新履歴

2003年 5月12日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

※追記すべき情報がある場合には、その都度このページを更新する予定です。

W32/Fizzerに関する届出が増加しています。

このウイルスは、5月8日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

このウイルスは、メールの添付ファイルおよびファイル共有ネットワークを介して感染を拡げます。IPAには5月12日16:00現在、複数の届出が来ていますので情報を掲載します。

下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。

ワクチンソフトの定義ファイルを更新していないと新種や新たな亜種を発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

概要

自分自身のコピーをメールの添付ファイルとして拡大する活動を行います。感染すると、Windowsのアドレス帳(WAB)やOutlookのアドレス帳など感染したコンピュータ内の様々なファイルからメールアドレスを収集して、その全てのメールアドレス宛に、またウイルス自身が作成するランダムなメールアドレス宛に、ウイルス自身が持つリストからランダムに選ばれた件名、本文、添付ファイル名のメールを送信します。

  • 件名:ランダム ← ウイルス自身が持つリストから選ばれる。
  • 本文:ランダム ← ウイルス自身が持つリストから選ばれる。
  • 添付ファイル名:ランダムなファイル名+.exe、.com、.pif、.scr

このウイルスは、差出人アドレスを詐称することがあります。

このウイルスに感染するとWindowsディレクトリに以下のファイルを作成します。

iservc.exe、initbak.dat、iservc.dll、ProgOp.exe

レジストリを改変することにより、パソコン起動時及び.txtファイルにアクセスした時にウイルスが実行されるようにします。

また、以下の活動も行います。

  • i) ウイルス本体をランダムなファイル名で生成し、ファイル共有ネットワークで共有・感染しようとします。
  • ii) アンチウイルス製品(ワクチンソフト、ファイアウォール)の動作を終了させます。
  • iii) バックドアが仕掛けられ、キー入力情報が第三者に取得されたり、DoS(サービス妨害)攻撃の踏み台にされるなどの遠隔操作をされる可能性があります。
  • iv) IRC(Internet Relay Chat)サーバなどへ接続しようとします。

対応方法

メールごと添付ファイルを削除してください。

最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
一個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。

修復方法

感染してしまった場合は、Windowsディレクトリに作成されたウイルスファイル等(iservc.exe、initbak.dat、iservc.dll、ProgOp.exe)の削除とレジストリの修正が必要となります。また、Windowsディレクトリにiservc.dat、Uninstall.pky、upd.bin、iservc.klgがある場合はこれも削除してください。

手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

修復ツールによる方法:

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み自己の責任において使用してください

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2003年 5月12日 掲載
2003年 5月13日 リンク追加 情報追加
2003年 5月14日 緊急対策情報として掲載 リンク追加
ページトップへ