「W32/Frethem」ウイルスの亜種に関する情報
最終更新日:2002年 7月18日
更新履歴
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
「decrypt-password.exe」という添付ファイルで、感染を拡げるウイルスが広まっています。7月17日16:00現在までに、約300件の届出と相談が IPA/ISEC宛てに届いています。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、該当のメールメッセージごと削除してください。
ワクチンソフトの定義ファイルを最新のものに更新していない場合、発見できないことがあります。各ワクチンベンダーの web サイトを参照して、最新のウイルス定義ファイルに更新してください。
予防策
W32/Frethem ウイルスは、マイクロソフト セキュリティ情報 MS01-020 に記載されている脆弱性を使用するため、Outlookや Outlook Express のプレビューウィンドウに表示するだけで自動的に感染します。
マイクロソフトは、Internet Explorer を最新版にバージョンアップすることを推奨しています。
- マイクロソフト社 「Frethem に関する情報」
http://www.microsoft.com/japan/technet/security/virus/frethem.asp - マイクロソフト社 「ホームユーザ向けセキュリティ対策早わかりガイド」(バージョンアップ情報)
http://www.microsoft.com/Japan/enable/products/security/
verslist.asp?prod=032
概要
このウイルスはWindows95/98/ME/NT/2000/XPに感染します。Macintosh、UNIX、LINUXなどには感染しません。(※)
ウイルスは、以下の体裁のメールで届き、添付ファイルを実行することで感染します。
- 件名: Re: Your password!
- 本文:
ATTENTION!
You can access
very important
information by
this passwordDO NOT SAVE
password to disk
use your mindnow press
cancel(★★★★)___________ ★★★★には名前などが入ります
Content-Type: application/octet-stream;
name=password.txt
Content-ID: <W8dqwq8q918213>Your password is W8dqwq8q918213
添付ファイル: decrypt-password.exe, password.txt 但し、password.txtファイルは、上記のように、本文の一部のように見える場合があります。
メールの添付ファイル decrypt-password.exeが実行されると、OutlookExpressが標準で使用する SMTP サーバーと送信者のメールアドレスを取得します。
ウイルスはC:ドライブにあるアドレス帳やメール本体など(具体的には拡張子が.dbx .wab .mbx .eml .mdbのファイル)からメールアドレスを取得し、取得できたすべてのアドレスにウイルスメールを送信します。
ウイルスが送信するメールの送信者(From)は OutlookExpress に設定されたものが使われます。
複数のユーザが設定されている場合は、最初のユーザの名前、メールアドレスが使われます。
OutlookExpress でメールアドレスを 1度も設定していない場合は、ウイルスメールを送信しません。ウイルスはウイルスメールの送信のためにSMTPサーバーに直接接続するので、メーラーの送信済みトレイにはウイルスが送信したメールは残りません。
ウイルスは Windowsフォルダにウイルス自身を taskbar.exe という名前でコピーします。
また、コピーしたファイルへのフルパスをレジストリの
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに
Task Barというキーで登録します。ウイルスはWindowsフォルダに winstat.ini と notepad.ini というファイルを作成します。
これらは無害なデータファイルです。ウイルスは、スタートアップフォルダ \Start Menu\Programs\Startup\ に、ウイルス自身を、setup.exe という名前でコピーします。
但し、通常、日本語環境ではスタートアップフォルダ名が異なるため、コピーはされません。ウイルス内部にはいくつかの IPアドレスが含まれており、そこにHTTPプロトコルで接続しますが、特にデータを送ったりはしません。
(注※)Macintosh 等で、このようなウイルスメールを受け取ったときは、決して他への転送を行わず、速やかに削除して下さい。
Windows パソコンに転送してしまいますと、転送先で被害が出る場合があります。
対処方法
Windowsフォルダにコピーされたファイル taskbar.exe 、winstat.ini、notepad.iniを削除する。
(英語版の場合は、スタートアップフォルダの setup.exe も削除する必要がありますが、ウイルス以外でも同じ名称のファイルがありますので、慎重に作業してください)
参考手順:
- インターネット接続を遮断する。( PC に接続されている LAN ケーブルや無線 LAN カードを物理的に抜くのが確実です。)これによって、ウイルスが動作した場合にも、メール送信による感染拡大を防ぎます。
- 添付ファイルをもった該当メールのメッセージを削除する。
- Ctrl キー、Alt キー、Delete キーを同時に押下し、タスクマネージャのプロセス一覧から taskbar を選択し、強制終了する。(Windows9Xの場合は、プログラム一覧から選択する)
- 「スタート」「検索」から、taskbar.exe 、winstat.ini、notepad.ini、(setup.exe)を探し、削除する。
- 再起動する。
- 最新のワクチンソフトで検査を行い、駆除が出来たことを確認する。
以下のURLに、ワクチンベンダーの修復ツールがあります。
注)ツールを使う場合には、各ベンダーが記述している「使用上の注意等」をよく読み、自己の責任において使用してください。
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Frethem.l@MM - アンラボ:
http://japan.ahnlab.com/virusinfo/view.asp?seq=208 - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_FRETHEM.K - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.frethem.k%40mm.html - 日本エフ・セキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/frethem%20l.htm - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32frethemfam.html
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2002年 7月15日 | 掲載 |
|---|---|
| 2002年 7月15日 | ベンダー情報を更新。 |
| 2002年 7月16日 | 概要の全面改訂およびベンダー情報、IPAへの報告件数を更新。 |
| 2002年 7月16日 | ベンダーの修復ツール情報を追加。 |
| 2002年 7月17日 | 予防策の項目を追加。IPAへの報告件数を更新。 |
| 2002年 7月18日 | ウイルスメール送信者に関する情報を更新。 |