English

緊急対策情報

届出

届出ウイルス一覧

ウイルスの届出

不正アクセスの届出

脆弱性関連情報の届出

情報セキュリティ対策

ウイルス対策

新種ウイルス情報

不正アクセス対策

脆弱性関連情報の取扱い

読者層別 対策実践情報

暗号技術

CRYPTREC

セキュリティ評価・認証

JISEC

セミナー・イベント

資料・報告書等

調査・研究報告書

開発成果紹介

セキュリティ関連RFC

PKI関連技術情報

公募

IPA/ISEC PGP公開鍵

サポート情報

ウイルスデータベース

用語集

FAQ（よくある質問）

セキュリティ関連リンク

IPAセキュリティセンターについて

「decrypt-password.exe」という添付ファイルで、感染を拡げるウイルスが広まっています。7月17日16:00現在までに、約 300件の届出と相談が IPA/ISEC宛てに届いています。

下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、該当のメールメッセージごと削除してください。

ワクチンソフトの定義ファイルを最新のものに更新していない場合、発見できないことがあります。各ワクチンベンダーの web サイトを参照して、最新のウイルス定義ファイルに更新してください。

ワクチンソフトに関する情報

予防策

W32/Frethem ウイルスは、マイクロソフト セキュリティ情報 MS01-020 に記載されている脆弱性を使用するため、Outlook や Outlook Express のプレビューウィンドウに表示するだけで自動的に感染します。
マイクロソフトは、Internet Explorer を最新版にバージョンアップすることを推奨しています。

マイクロソフト社　「Frethem に関する情報」
http://www.microsoft.com/japan/technet/security/virus/frethem.asp

マイクロソフト社　「ホームユーザ向けセキュリティ対策早わかりガイド」（バージョンアップ情報）
http://www.microsoft.com/Japan/enable/products/security/verslist.asp?prod=032

概要

このウイルスはWindows95/98/ME/NT/2000/XPに感染します。Macintosh、UNIX、LINUXなどには感染しません。（※）

ウイルスは、以下の体裁のメールで届き、添付ファイルを実行することで感染します。

件名： Re: Your password!

本文：

ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

（★★★★）＿＿＿＿＿＿＿＿＿＿＿　　　★★★★には名前などが入ります

Content-Type: application/octet-stream;
name=password.txt
Content-ID: <W8dqwq8q918213>

Your password is W8dqwq8q918213


添付ファイル： decrypt-password.exe, password.txt 　但し、password.txt ファイルは、上記のように、本文の一部のように見える場合があります。

メールの添付ファイル decrypt-password.exeが実行されると、OutlookExpress が標準で使用する SMTP サーバーと送信者のメールアドレスを取得します。

ウイルスはC:ドライブにあるアドレス帳やメール本体など（具体的には拡張子が.dbx .wab .mbx .eml .mdbのファイル）からメールアドレスを取得し、取得できたすべてのアドレスにウイルスメールを送信します。

ウイルスが送信するメールの送信者(From)は OutlookExpress に設定されたものが使われます。
複数のユーザが設定されている場合は、最初のユーザの名前、メールアドレスが使われます。
OutlookExpress でメールアドレスを 1度も設定していない場合は、ウイルスメールを送信しません。

ウイルスはウイルスメールの送信のためにSMTPサーバーに直接接続するので、メーラーの送信済みトレイにはウイルスが送信したメールは残りません。

ウイルスは Windowsフォルダにウイルス自身を taskbar.exe という名前でコピーします。
また、コピーしたファイルへのフルパスをレジストリの
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runに
Task Barというキーで登録します。

ウイルスはWindowsフォルダに winstat.ini と notepad.ini というファイルを作成します。
これらは無害なデータファイルです。

ウイルスは、スタートアップフォルダ \Start Menu\Programs\Startup\ に、ウイルス自身を、setup.exe という名前でコピーします。
但し、通常、日本語環境ではスタートアップフォルダ名が異なるため、コピーはされません。

ウイルス内部にはいくつかの IPアドレスが含まれており、そこにHTTPプロトコルで接続しますが、特にデータを送ったりはしません。

（注※）Macintosh 等で、このようなウイルスメールを受け取ったときは、決して他への転送を行わず、速やかに削除して下さい。
Windows パソコンに転送してしまいますと、転送先で被害が出る場合があります。

対処方法

Windowsフォルダにコピーされたファイル taskbar.exe 、winstat.ini、notepad.ini を削除する。
（英語版の場合は、スタートアップフォルダの setup.exe も削除する必要がありますが、ウイルス以外でも同じ名称のファイルがありますので、慎重に作業してください）

参考手順：

以下のURLに、ワクチンベンダーの修復ツールがあります。
注）ツールを使う場合には、各ベンダーが記述している「使用上の注意等」をよく読み、自己の責任において使用してください。

トレンドマイクロ：
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=4305

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

日本ネットワークアソシエイツ：
http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Frethem.l@MM
アンラボ：
http://japan.ahnlab.com/virusinfo/view.asp?seq=208
トレンドマイクロ：
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K
シマンテック：
http://www.symantec.com/region/jp/sarcj/data/w/w32.frethem.k%40mm.html
日本エフ・セキュア：
http://www.f-secure.co.jp/v-descs/v-descs3/frethem%20ｌ.htm
ソフォス：
http://www.sophos.co.jp/virusinfo/analyses/w32frethemfam.html


ウイルス対策のトップページはこちらをご覧ください。

更新履歴

2002年 7月15日　掲載
2002年 7月15日　ベンダー情報を更新。
2002年 7月16日　概要の全面改訂およびベンダー情報、IPAへの報告件数を更新。
2002年 7月16日　ベンダーの修復ツール情報を追加。
2002年 7月17日　予防策の項目を追加。IPAへの報告件数を更新。
2002年 7月18日　ウイルスメール送信者に関する情報を更新。