HOME情報セキュリティ情報セキュリティ対策ウイルス対策新種「W32/Welchi」ワームに関する情報

本文を印刷する

情報セキュリティ

新種「W32/Welchi」ワームに関する情報

2003年12月3日
情報処理推進機構
セキュリティセンター(IPA/ISEC)

W32/Mimail ウイルスの亜種(W32/Mimail.i、W32/Mimail.j)は、オンライン決済サービス業者からのメッセージを装い、ユーザのクレジットカード番号などの個人情報を盗もうとします。
このウイルスは、自身のコピーを添付したメールを大量に送信し、感染を広げます。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
このウイルスは11月17日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWeb サイトを参照して、最新のウイルス定義ファイルに更新して下さい。

>> ワクチンソフトに関する情報

影響を受けるシステム

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

概要

このウイルスは、「トロイの木馬型」のものであり、自身の複製をメールの添付ファイルとして拡大する活動を行います。
感染すると、自分自身を Windows ディレクトリに svchost32.exe および ee98af.tmp としてコピーします。 さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、偽の"PayPal Secure Application"ウィンドウを表示し、クレジットカード番号などの個人情報を入力させ、外部に送信します。メール送信活動: 感染したコンピュータ内のうち、特定の拡張子(.com, .wav, .cab, .pdf, .rar, .zip, .tif, .psd, .ocx, .vxd, .mp3, .mpg, .avi, .dll, .exe,など)のファイルを除く、全ファイルを検索し、メールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、本文、添付ファイル、差出人欄に表示されるアドレスには次の特徴があります。

W32/Mimail.i の特徴:

  • 件名: YOUR PAYPAL.COM ACCOUNT EXPIRES
  • 添付ファイル: paypal.asp.scr または www.paypal.com.scr
  • 本文:

    Dear PayPal member,
    PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address <メールアドレス> will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information.

    We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure.

    IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now.

    DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received.

    Thank you for using PayPal.

W32/Mimail.j の特徴:

  • 差出人: Do_Not_Reply@paypal.com
  • 件名: IMPORTANT
  • 添付ファイル: www.paypal.com.pif または InfoUpdate.exe
  • 本文:

    We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information. To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.

    IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore. Thank you for using PayPal.

対応方法

添付ファイルを開くことなく、当該メールをそのまま削除して下さい。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」して下さい。

修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2005年 4月14日 リンク先修正
2003年 12月3日 掲載