「W32/Swen」ウイルスに関する情報
最終更新日:2003年 9月22日
更新履歴
2003年 9月22日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
このウイルスは、マイクロソフト社の Internet Explorer の既知のセキュリティホールを悪用したウイルスで あり、メールの添付ファイルを介して感染を拡げます。このウイルスが添付されたメールを受け取ると、Outlookではメールを開いただけで、Outlook Expressではプレビューしただけでも感染しますので、下記に示す予防策を実施して下さい。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
更に、共有ネットワーク、IRC(インターネット・リレー・チャット)やファイル交換ソフトウェアを通じても感染活動を行います。
マイクロソフト社からの情報
Swenに関する情報
http://www.microsoft.com/japan/technet/security/virus/swen.asp
また、このウイルスは 9月19日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーの Web サイトを参照して、最新のウイルス定義ファイルに更新して下さい。
予防策
ブラウザ(Internet Explorer)に修正プログラムを適用する。:
Internet Explorer 5.01の場合、SP2 を適用する。
Internet Explorer 5.5 の場合、SP2 を適用する。
(パッチの適用方法については、マイクロソフト社のサイトでご確認下さい。
マイクロソフト社 「ホームユ ーザー向け セキュリティ対策 早わかりガイド」のページ )
あるいは最新の Internet Explorer 6.0 をインストールする。
(注: 必ず、Outlook Expressを含む標準構成以上でセットアップすること。)
概要
このウイルスは、「トロイの木馬型」のものであり、自身の複製をメールの添付ファイルとして拡大する活動を行います。
感染すると、自分自身のコピーを、不定のファイル名を使って Windows のインストール先のフォルダに作成します。
メール送信活動:
感染したコンピュータ内のWindowsのアドレス帳や特定の拡張子(.eml、.wab、.dbx、.mbx )のファイルから、更にインターネット上のニュースグループを検索し、メールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、本文、差出人欄に表示されるアドレスは不定ですが、Internet Explorer の修正プログラムの案内メールを装ったり、qmailというメールサーバーソフトウェアからの送信エラー通知メールを装ったものもあります。
さらに、以下の活動も行います。
- ネットワークで共有されているパソコンの Startup フォルダ内に自分自身をコピーして感染を拡げます。
- IRC(インターネット・リレー・チャット)経由で同じチャネルに接続した他の IRC ユーザに自分自身を送信します。
- ファイル共有ソフトウェア(KaZaA)を介して接続先のパソコンのテンポラリーフォルダ内に自分自身をコピーして感染を拡げます。
- ニュースグループに投稿します。
- セキュリティ製品(ワクチンソフト、ファイアウォール)の動作を終了させます。
対応方法
予防策を実施した上で、当該メールごと削除して下さい。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」 して下さい。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。
手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して 下さい。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アラジンジャパン(Win32.Swen.a):
http://www.aladdin.co.jp/esafe/virus/v_all/Win32_Swen_a.html - アンラボ(Win32/Swen.worm. 106496):
http://japan.ahnlab.com/virusinfo/view.asp?seq=750 - コンピュータアソシエイツ(Win32.Swen.A):
http://www.caj.co.jp/virusinfo/2003/win32_swen_a.htm - シマンテック(W32.Swen.A@mm):
http://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.html - ソフォス(W32/Gibe-F):
http://www.sophos.co.jp/virusinfo/analyses/w32gibef.html - トレンドマイクロ(WORM_SWEN.A):
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_SWEN.A - 日本エフセキュア(Swen):
http://www.f-secure.co.jp/v-descs/v-descs3/swen.htm - 日本ネットワークアソシエイツ(W32/Swen@MM):
http://www.nai.com/japan/security/virS.asp?v=W32/Swen@MM
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2003年 9月22日 | 掲載 |
|---|