HOME情報セキュリティ情報セキュリティ対策ウイルス対策「VBS/Redlof」ウイルスに関する情報

本文を印刷する

情報セキュリティ

「VBS/Redlof」ウイルスに関する情報

2003年2月7日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

このウイルスは、VBScriptで作成されたウイルスで、Internet Explorer 5 以降がインストールされたWindows9x/Me/NT/2000/XP SP1環境下で動作します。

通常、ウイルスはメールを媒介として感染します。ウイルスメールには添付ファイルは無く、HTML形式のメール本文に埋め込まれたウイルススクリプトによって感染が引き起こされます。また、感染したHTMLファイルをホームページに掲載することで、そのページを閲覧したユーザへも感染します。

このウイルスはMicrosoft VM が持つセキュリティホール(「Microsoft VM による ActiveX コンポ ーネントの制御」の脆弱性)を利用して、ユーザに対する警告無しにウイルスを動作させる仕組みを持っているため、注意が必要です。

予防策

マイクロソフト社の下記サイトを利用して、セキュリティホールを修正する。

最新のウイルス定義ファイルに更新したワクチンソフトを使用する。
>> ワクチンソフトに関する情報

概要

このウイルスに感染すると、WindowsフォルダのSystemフォルダに(Windowsフォルダにwscript.exeが無い場合はSystem32フォルダに)Kernel.dll (またはSystem32\Kernel32.dll)という名前で自分自身をコピーします。続いて、以下のレジストリにこのファイル名を登録します。これにより、パソコン起動時にウイルスが実行されるようになります。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
\Kernel32

また、WindowsフォルダのwebフォルダとSystem32フォルダに kjwall.gifという名前でウイルスファイルを作成します。さらに、全ドライブのHTML形式と拡張子がHTTのファイルに感染します。

アクセス可能なドライブのフォルダにウイルスに感染した不可視属性の FOLDER.HTT を作成します。感染していないパソコンでFOLDER.HTTを含むフロッピーディスクやフォルダを参照すると、エクスプローラーでWeb表示が可能になっていれば(デフォルトで可能になっている)FOLDER.HTTは自動的に実行され、ウイルスに感染します。

ウイルスメール送信について

ウイルスはWindowsフォルダがインストールされているドライブの
Program Files\Common Files\Microsoft Shared\Stationery
にウイルスファイルblank.htmをコピーします。

そして、Outlook Express/Outlook 2000 (XP)の設定を以下のように変更します。

  • ひな形を利用するように設定
  • ひな形ファイルにblank.htm(ウイルスファイル)を指定

これにより、感染したユーザが新規作成するメールは、このウイルスに感染したメールになります。なお、メール本文にウイルスが埋め込まれる形になるため、添付ファイルはありません。

修復方法

このウイルスに感染すると、複数のファイルに感染が拡大します。(2,000個以上のファイルが感染していたという報告も寄せられています。)

手動で、感染ファイルからウイルス部分を取り除くことも可能ですが、レジストリの修正(コンピュータに関する高度な知識が必要)も必要になりますので、安全な方法として、必要なデータのみバックアップし、再インストールすることをお勧めします。

注意 :バックアップしたファイルをパソコンに戻す際は、最新のウイルス定義ファイルに更新したワクチンソフトで検査をして、感染の有無を確認してください。

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2003年 2月 7日 掲載。