2002年 9月 5日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
W32/Klezウイルス5ヶ月連続で1000件を超える==史上最悪==!! |
情報処理振興事業協会セキュリティセンター(IPA/ISEC)は、2002年 8月の届出状況をまとめた。
8月の届出件数は1756件(7月1781件)、実害率は4.5%(7月9.7%)であった。
送信者アドレスを詐称するW32/Klezウイルス依然として蔓延!!
W32/Klezウイルスに関する届出は1062件と、2002年4月以降毎月1000件を超える届出が寄せられ、蔓延状況が長期化している。
蔓延している要因として、主に以下の3つが挙げられる。
「差出人アドレスが実在、もしくはそれらしいアドレスで届くこと」
「セキュリティホールを悪用しておりメールを開いただけで感染する可能性があること」
「アドレス帳などから取得したアドレスを使って送信者アドレスを詐称することにより、本来の
送信者(感染者)を特定することが困難であること」
特に、送信者(感染者)に連絡が取れないため、感染していることに気付かずにウイルスメールを発信し続けている状況が大きな要因である。
(参考)
W32/Klezウイルスに関する情報
http://www.ipa.go.jp/security/topics/newvirus/klez.html
今月の呼びかけ:「チェックなくネットは無事に渡れない!!」 |
インターネットを利用していると誰でもウイルスに遭遇する可能性がある。ウイルスによる被害を他人事と思って対策をとっていない人は、ウイルスの被害に遭い易く、また、感染していることに気付かない場合も多い。
W32/Klezウイルスが蔓延している状況なので、下記のステップでチェックを行い、事前から万全な対策をとっておくようにしよう。
ステップ1) Klez専用の駆除ツールを利用 (無償)
ウイルスの種類によっては専用の駆除ツールが提供されているので、確認してみよう。
W32.Klez駆除ツール (シマンテック)
http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.removal.tool.html
「WORM_KLEZ」感染マシンの修復 (トレンドマイクロ)
http://www.trendmicro.co.jp/klez/tool.asp
ステップ2) ウイルスチェックする
@)オンラインでウイルスチェック (無償)
ワクチンベンダーのサイトに接続し、オンラインで現在の状況を確認しよう。
ウイルスバスターオンラインスキャン (トレンドマイクロ)
http://www.trendmicro.co.jp/hcall/scan.htm
Security Check (シマンテック)
http://www.symantec.com/region/jp/securitycheck/index.html
A)ワクチンソフトでウイルスチェック (有償)
パソコンにインストールし、継続的に感染予防をするための必須アイテム。
主なワクチンベンダーのWebサイト等一覧
http://www.ipa.go.jp/security/antivirus/vender.html
B)プロバイダのウイルスチェックサービスを利用 (無償〜月額数百円)
大手プロバイダで提供されている上記サービスを利用することで、メール経由のウイルスは自動的にチェックされる。
ステップ3) ソフトウェアのバージョンアップ (無償)
利用しているソフトウェアにセキュリティ上の問題がないか下記サイトで確認し、必要に応じて修正プログラムを適用してセキュリティホールを解消しよう。
「Windows Update」 (マイクロソフト)
http://windowsupdate.microsoft.com/
(※)ブラウザやメールソフトを他社製に変更することもセキュリティ対策に有効である。なお、当該製品のセキュリティホールについての情報は入手するように心がけよう。
「セキュリティ・ノート」 (ネットスケープ)
http://www.netscape.com/ja/security/
「オペラの日本語サイト」 (オペラソフトウェア)
http://jp.opera.com/
上記ステップはすべてのウイルスに対して有効であるので、活用されたい。
1) 8月、届出のあったウイルスは45種類であった。
(Windows/DOS ウイルス1,622件、マクロウイルス及びスクリプトウイルス134件、Macintosh及びUNIXウイルスは0件。)
(*) 印は今月の新種ウイルスを示す。
| Windows、DOSウイルス | 届出件数 | マクロウイルス | 届出件数 |
| W32/Klez | 1062 | XM/Laroux | 45 |
| W32/Frethem | 131 | X97M/Divi | 11 |
| W32/Badtrans | 111 | W97M/Class | 2 |
| W32/Yaha (*) | 54 | W97M/Ethan | 2 |
| W32/Hybris | 52 | W97M/Astia | 1 |
| W32/Magistr | 49 | W97M/Marker | 1 |
| W32/Nimda | 47 | W97M/Opey | 1 |
| W32/Sircam | 39 | W97M/Panther | 1 |
| W32/MTX | 13 | W97M/Pri | 1 |
| W32/Higuy (*) | 11 | W97M/Titch | 1 |
| W32/Tecata (*) | 11 | WM/Cap | 1 |
| W32/CIH | 8 | X97M/Barisada | 1 |
| W32/Ska | 6 | XM/VCX.A | 1 |
| Anti-CMOS | 4 | ||
| W32/Aliz | 4 | スクリプトウイルス | 届出件数 |
| W32/Duni (*) | 4 | VBS/Redlof (*) | 46 |
| W32/Fbound | 4 | VBS/Haptime | 12 |
| Form | 2 | VBS/LOVELETTER | 4 |
| W32/Funlove | 2 |
VBS/Freelink |
1 |
| W32/Gibe | 2 | VBS/Netlog | 1 |
| W32/Datom (*) | 1 |
Wscript/Kakworm |
1 |
| W32/Goner | 1 | ||
| W32/Msinit | 1 | ||
| W32/Myparty | 1 |
|
|
| W32/Navidad | 1 | ||
| W32/QAZ | 1 | ||
備考:件数には亜種の届出を含む
注) ウイルス名欄で、各記号はそれぞれの下記ウイルスを示す。
| 記号 | 対象ウイルス |
| WM | MSword95(WordMacroの略) |
| W97M | MSword97(Word97Macroの略) |
| XM、XF | MSexcel95、97(ExcelMacro、ExcelFormulaの略) |
| X97M | MSexcel97(Excel97Macro) |
| W97M/X97M/P97M | MSword97、MSexcel97、MSpowerpoint97(Word97Macro、Excel97Macro、PowerPoint97Macroの略) |
| W32 | Windows32ビット環境下で動作 |
| VBS | VisualBasicScriptで記述 |
| Wscript | WindowsScriptingHost環境下で動作(VBSを除く) |
| Solaris | Solaris環境下で動作 |
| FreeBSD | FreeBSD環境下で動作 |
2)8月にIPAに初めて届出のあったウイルスの概要を記述する。
・W32/Yaha
このウイルスに感染すると、Outlook Expressのアドレス帳、MSN Messenger、Yahooページャー、ICQ、Internet Explorerのキャッシュ、ディスクトップとマイドキュメントの拡張子がtxtまたはdocのファイルからメールアドレスを収集して下記の内容のメールを送信する。
件名:Check the attachment
See the attachement
Enjoy the attachement など、複数の件名からランダムに選択される。
本文:Check the attachment See the attachement Enjoy the attachement More details
attached This message was created automatically by mail delivery software (Exim).
A message that you sent could not be delivered to one or more of its recipients.
This is a permanent error. The following address(es) failed:
For further assistance, please contact < postmaster >
If you do so, please include this problem report. You can
delete your own text from the message returned below.
Copy of your message, including all the headers is attached
----- Original Message -----
From: "" < >
To: < >
Sent:
Subject: <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www. to everyone you consider a FRIEND, even if it means
sending it back to the person who sent it to you. If it comes back to you, then you'll know
you have a circle of friends.
* To remove yourself from this mailing list, point your browser to:
http:// /remove?freescreensaver
* Enter your email address () in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address X-PMG-Recipient:
添付ファイル名: 例:loveletter. doc. pif ランダムな組み合わせ
(主ファイル名) + (中間) + (拡張子)
loveletter、resume、biodata doc、mp3、xls、dat pif、bat、scr
dailyreport、mountan、goldfish wav、txt、jpg、gif、
weeklyreport、report、love bmp、htm、mpg、mdb、zip
このウイルスは、c:\recycled、c:\recyclerまたはWindowsフォルダにウイルス自身をインストールし、パソコン起動時にウイルスが動作するようにレジストリの変更を行う。
また、Windows95/98/ME/NT/2000/XPで動作する。
・VBS/Redlof
このウイルスはInternet Explorer 5以降を組み込んだWindows環境で動作する。また、Microsoft VMが持つセキュリティホールを利用してユーザーに対する警告無しにウイルスを動作させる仕組みを持っている。
感染するとWindowsフォルダのSystemフォルダ(Windowsフォルダにwscript.exeが無い場合はSystem32フォルダ)にKernel.dll(またはSystem32\Kernel32.dll)に自分自身をコピーし、ウイルスを自動起動するためにレジストリの変更を行う。
また、全ドライブのHTML形式と拡張子がHTTのファイルにウイルスを感染させ、フロッピーディスクを含むドライブのフォルダにウイルス感染したFOLDER.HTTを作成する。
ユーザーが新規メールを作成するときに、ウイルス感染したひな形(ファイル)を利用させるようにOutlook、Outlook Expressの設定を変更する。これにより、発信されたメールはウイルス感染したものとなる。
・W32/Tecata
このウイルスはWindows95/98/MEで動作します。ウイルスは実行されているプログラムを列挙してそのプログラムに感染しようとする。
ウイルスに感染したプログラムはファイルサイズが増加し、Windows95/98/ME以外で実行すると強制終了される。なお、発病はありません。
・W32/Higuy
このウイルスは実行されるとタイトルが「Error」で本文が
VBRUN49.DLL not found!
Unable to execute.
のメッセージボックスを開く。また、Windowsフォルダにウイルス自身をdllmgr32.exeとしてコピーし、レジストリの変更を行う。ウイルスを添付したメールをOutlook Expressのアドレス帳に登録されているメールアドレス宛てに送信する。メールの内容は以下の通り。
件名:Incredible..
Qualsiasi cosa fai,falla al meglio.
Urgente! (vedi allegato)
Incredibile.. のいずれかが選択される。
本文:Hello,
Ciao,
のどちらかに続いて
see this interesting file.
apri subito l'allegato,e' molto interessante.
devi assolutamente vedere il file che ti ho allegato.
okkio all'allegato ;-)
のいずれかに続いて
Bye.
A presto...
のいずれかになる。
添付ファイル名:tattoo.exe、euro.exe、tettona.exe のうちひとつ
このウイルスはWindows95/98/ME/NT/2000/XPで動作する。
・W32/Datom
このウイルスが実行されるとネットワークで共有されているフォルダを再帰的に検索する。Windowsフォルダを見つけるとそこにMSVXD.EXE、MSVXD16.DLL、MSVXD32.DLLをコピーする。また、ウイルスを自動起動させるためにWIN.INIのWindowsセクションのRunキーにMSVXD.EXEを記述する。WIN.INIがなければスタートアップフォルダにVxD Manager.lnkを作成する。
・W32/Duni
ウイルスが実行されると乱数を求めてそれに拡張子cplをつけてファイル名とし、Windowsフォルダにウイルス自身をコピーし、起動時にウイルスが実行されるようにレジストリを変更する。
ウイルスはMSN Messengerのメンバーリストからメールアドレスを取得し、そのアドレスにウイルスを添付してメールを送信する。メールの件名、本文、添付ファイル名は乱数で決定される。また、KaZaaで共有されているフォルダにウイルス自身をコピーする。
このウイルスは、Windows95/98/ME/NT/2000/XPで動作する。
3)届出の届出者別件数は次のとおりである。一番多い届出は、一般法人ユーザからのもので、約75%を占めている。
届 出 者 |
届 出 件 数 |
|||||
| 2002/8 | 2002/1〜8 | 2001年合計 | ||||
| 一般法人ユーザ | 1,316 | 74.8% | 11,234 | 74.4% | 17,332 | 71.4% |
| 教育・研究機関 | 204 | 11.6% | 1,415 | 9.4% | 1,286 | 5.3% |
| 個人ユーザ | 239 | 13.6% | 2,457 | 16.2% | 5,643 | 23.3% |
4)届出の地域別件数は次のとおりである。関東地方が最も多く、続いて近畿地方、中部地方の順となっている。
地 域 |
届 出 件 数 | |||||
| 2002/8 | 2002/1〜8 | 2001年合計 | ||||
| 北海道地方 | 19 | 1.1% | 260 | 1.7% | 506 | 2.1% |
| 東北地方 | 46 | 2.6% | 406 | 2.7% | 882 | 3.6% |
| 関東地方 | 1,002 | 57.1% | 9,523 | 63.0% | 16,291 | 67.1% |
| 中部地方 | 257 | 14.6% | 1,487 | 9.8% | 2,360 | 9.7% |
| 近畿地方 | 272 | 15.5% | 2,300 | 15.2% | 2,589 | 10.7% |
| 中国地方 | 22 | 1.2% | 261 | 1.7% | 387 | 1.6% |
| 四国地方 | 14 | 0.8% | 130 | 0.9% | 399 | 1.6% |
| 九州地方 | 124 | 7.1% | 739 | 4.9% | 847 | 3.5% |
5)届出から感染経路を区分けすると次の表のようになる。 海外からのメールも含めたメールにより感染したケースが最も多く、届出件数の約98%を占めている。
感 染 経 路 |
届 出 件 数 | |||||
| 2002/8 | 2002/1〜8 | 2001年合計 | ||||
| メール | 1,402 | 79.8% | 13,152 | 87.1% | 17,790 | 73.3% |
| 海外からのメール | 303 | 17.3% | 1,656 | 11.0% | 3,791 | 15.6% |
| ダウンロード(※) | 18 | 1.0% | 74 | 0.5% | 593 | 2.4% |
| 外部からの媒体 | 18 | 1.0% | 78 | 0.5% | 655 | 2.7% |
| 海外からの媒体 | 0 | 0% | 4 | 0% | 22 | 0.1% |
| 不明・その他 | 15 | 0.8% | 142 | 0.9% | 1,410 | 5.8% |
(※)ホームページからの感染を含む
6)届出のあったウイルスが感染させたパソコンの台数は次のとおりである。感染台数の欄0台は、FDのみの感染またはファイルのみの感染を示し、事前の検査により、パソコンに感染する前にウイルスを発見したものである。
感 染 台 数 |
届 出 件 数 | |||||
| 2002/8 | 2002/1〜8 | 2001年合計 | ||||
| 0台 | 1,677 | 90.4% | 13,813 | 91.4% | 19,585 | 80.7% |
| 1台 | 66 | 3.8% | 1012 | 6.7% | 3,733 | 15.4% |
| 2台以上 5台未満 | 7 | 0.4% | 161 | 1.1% | 528 | 2.2% |
| 5台以上 10台未満 | 3 | 0.2% | 48 | 0.3% | 190 | 0.8% |
| 10台以上 20台未満 | 1 | 0% | 47 | 0.3% | 93 | 0.4% |
| 20台以上 50台未満 | 1 | 0% | 19 | 0.1% | 74 | 0.3% |
| 50台以上 | 1 | 0% | 6 | 0% | 58 | 0.2% |
特定日発病ウイルスについて
ウイルスの被害の拡大を防止する意味から、今回は、IPA/ISEC に届出されたウイルスの中で、9月5日〜 10月31日に発病する可能性がある主なウイルスを下記に掲げたので注意されたい。(参考:特定日発病ウイルス[ウイルスカレンダー] )
| W32/Klez | 9月 6日、10月 6日(毎月6日に発病) |
| VBS/Haptime | 10月 3日 (「月」と「日」の合計が13の時に発病) |
コンピュータウイルスに関する届出制度は、経済産業省のコンピュータウイルス対策基準に基づき、'90年4月にスタートした制度であって、コンピュータウイルスを発見したものは被害の拡大と再発を防ぐために必要な情報をIPAに届け出ることとされている。
IPAでは、個別に届出者への対応を行っているが、同時に受理した届出等を基に、コンピュータウイルス対策を検討している。また受理した届出は、届出者のプライバシーを侵害することがないように配慮した上で、被害等の状況を分析し、検討結果を定期的に公表している。
○コンピュータウイルス対策基準
・通商産業省告示第139号 平成 2年 4月10日制定
・通商産業省告示第429号 平成 7年 7月 7日改訂
・通商産業省告示第535号 平成 9年 9月24日改訂
・通商産業省告示第952号 平成12年12月28日改訂
問い合わせ先:IPAセキュリティセンター(IPA/ISEC)
(ISEC:Information technology SEcurity Center)
TEL:03-5978-7508 FAX:03-5978-7518
E-mail: isec-info@ipa.go.jp
相談電話:03-5978-7509 URL:http://www.ipa.go.jp/security/
Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.
