■どういうウイルスなの?
感染すると
- 感染したことに気づきません。
- 気づかずに、友達にウイルスを添付してメールを送信します(友達も感染してしまいます)。
- 受信トレイの未読メールを探し、その返信として自身(ウイルス)を添付してメールを送信します。メールを送ったことには気づきません。
- 任意に訪れたホームページ中のメールアドレスを宛先にして自身(ウイルス)を添付したメールを送信します。
- 同一のアドレスに二重に送信しません。(PROTOCOL.DLL ファイルに送信したメール情報を格納します。)
- 自身をシステムディレクトリに KERNEL32.EXE (ウイルス本体1)の名前でコピーすると同時に、コンピュータの再起動時にワームが再実行されるように以下のようにレジストリ値を追加します。
-
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe
- 各種パスワード(インターネット、銀行など)や住所、氏名、電話番号など個人情報が漏洩し、このウイルス作者にメール送信されます。
ウイルスはキーボード操作を記録するトロイの木馬 KDLL.DLL (ウイルス本体2)をインストールします。キーボード操作の記録は、CP_25389.NLS ファイルに格納され、このウイルス作者にメール送信されます。
注意1:KERNEL32.DLL 及び SKDLL.DLL ファイルはウィルスではありません。このファイルを削除するとWindowsが正常に動作しなくなります。
注意2:SULFNBK.EXE ファイルはウィルスではありません。デマ情報です。このファイルはWindowsに存在しません。
■対象となるコンピュータは?
このウイルスは、Windows上で動作するウイルスです。以下のバージョンのマイクロソフト社の InternetExplorer と
Outlook/OutlookExpress を使用しているWindows パーソナルコンピュータ:
- Internet Explorer 5.01
- Internet Explorer 5.5
- Internet Explorer 5.01 SP1
- Internet Explorer 5.5 SP1
SPとはService Packの略でソフトの最新更新のことです。
■Macintosh MacOSは?
このウイルスは、Windows上で動作するウイルスです。Apple社の Macintosh MacOS パーソナルコンピュータには感染しません。
しかし、ウイルスメールをそのまま Windows にユーザー転送した場合、転送先のWindows ユーザーが感染被害に遭います。ウイルスと思われるメールは削除してください。
また、MacOS 上で Soft Windows (仮想 Windows OSソフト)を起動している場合は MacOS でも感染します。
■InternetExplorerのバージョンはどうやったらわかるの?
InternetExplorerを起動し、メニューバーから [ヘルプ] - [バージョン情報] で
バージョンの先頭数字が5.5のときはInternet Explorer 5.5、5.01のときはInternet Explorer 5.01です。
また、更新バージョンが0のときは更新されていない初期のバージョン、SP1のときはService Pack 1に更新されているバージョンです。
■InternetExplorer、Outlook/OutlookExpressを使用してませんが・・。
InternetExplorer、Outlook/OutlookExpressを使用していなくても、
ウイルスメールの添付ファイルを実行(ダブルクリック)すると、感染被害に遭います。
感染した場合、InternetExplorer、Outlook/OutlookExpress がインストールされている状態では(Windowsマシンには標準でインストールされています。)Outlook/OutlookExpress を使用するしないにかかわらず、ウイルスを他人に撒き散らします。
■どんな形式のメールなの?
◆ メールの送信者 :
パターン1: 先頭に '_' (アンダースコア)
が付いたアドレス
例えば、"Name" <_address@ipa.go.jp>
のようになります。
パターン2:
以下のアドレスのいずれかの場合もあります。
" Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
" Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
" Administrator" <administrator@border.net>
" Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" <mary@c-com.net>
" Anna" <lindaizzo@home.com>
"JUDY" <JUJUB@AOL.COM>
"Tina" <tina08@yahoo.com>
なお、パターン1のアドレスが使われた場合は、アドレス先頭に"_" (アンダーライン)が追加されているので、そのアドレスに返信することはできません。
◆ メールの件名 :
パターン1: "Re:" のみ
パターン2: 先頭に 'Re:' が付く、以前に送ったメールの返信の件名
パターン3: 空の件名
◆ メールの本文 :
空の本文
◆ 添付ファイル名 :
例えば、 Sorry_about_yesterday.MP3.pif や README.DOC.scr という添付ファイル名になります。
以下の単語の組合せで、拡張子が2重についています。
aaa.bbb.ccc
最初のaaaは、
fun,
Humor,
docs,
info,
Sorry_about_yesterday,
Me_nude,
Card,
SETUP,
stuff,
YOU_are_FAT!,
HAMSTER,
news_doc,
New_Napster_Site,
README,
images,
Pics,
SEARCHURL,
S3MSONG
のうちから任意の1つ。
2番目のbbbは、DOC, MP3 から任意の1つ。
最後のcccは、pif, scr から任意の1つ。
◆ 例) :
■どうしたら感染するの?
なんだろう?とメールを開いた時点で感染します。
ウイルスメールの添付ファイルを実行(ダブルクリック)すると、感染被害に遭います。
また、OutlookExpress ではプレビューしただけで感染してしまう可能性があります。OutlookExpress ではプレビュー機能をオンにしていると、ウイルスメールを削除しようとしてメールを選択しただけで感染します。
下記のような警告メッセージがでたら[キャンセル]しましょう。
■感染しているか調べるには?
システムディレクトリに KERNEL32.EXE や KDLL.DLLというウイルスファイルが作成されています。
ファイル検索するには、Windows[スタート]ボタン→[検索]→[ファイルやフォルダ]を選択し、[ファイルまたはフォルダの名前]項目にKERNEL32.EXEと記入し[検索開始]ボタンを押してください。KDLL.DLLも同様。
検索結果でファイルが見つかった場合は感染していることになります。
注意1:KERNEL32.DLL 及び SKDLL.DLL ファイルはウィルスではありません。このファイルを削除するとWindowsが正常に動作しなくなります。
注意2:SULFNBK.EXE ファイルはウィルスではありません。デマ情報です。このファイルはWindowsに存在しません。
■感染しないようにするための緊急措置は?
今後感染しないようにOutlook/OutlookExpressの設定を変えます。あくまでも緊急措置で完全ではありません。
OutlookExpressを起動し、ローカルフォルダを選択して、メニューバーから [表示] - [レイアウト] で「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、「プレビューウィンドウを表示する」のチェックを外してプレビューウィンドウが表示されないようにしてから、メールを削除してください。
■駆除方法は?
コンピュータに関する高度な知識が必要です。
特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
感染してしまった場合の修復方法は、下記のようなレジストリの修正が必要となります。
無償の修復ツールがワクチンベンダーから配布されているので、そちらを使う方法もあります。
コンピュータに関する高度な知識がある方:
- Windowsをsafeモードで起動して、ウイルスが追加した以下のレジストリ値を削除します。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe
- 次に、ワクチンソフトでフルスキャンし、検出したファイルを削除します。ファイルが削除できない場合は、検出したファイルの名前を変更し、レジストリ設定
の削除を確認後リブートしてから、名前を変更したファイルを削除します。
- 今後、再感染しないように以下の予防策をとります。
コンピュータ、パソコン初心者、レジストリ機構を知らない方:
- 以下のURLに、修復ツールがあります。ダウンロードして使います。
注)ツールを使う場合には、各ベンダーが記述している「使用上の注意等」をよく読み、 自己の責任において使用してください。
山田洋行(F-Secure)
トレンドマイクロ社
シマンテック社
- 次に、ワクチンソフトでフルスキャンし、検出したファイルを削除します。(ファイルが削除できない場合は、検出したファイルの名前を変更し、レジストリ設定
の削除を確認後リブートしてから、名前を変更したファイルを削除します。)
- 今後、再感染しないように以下の予防策をとります。
■予防策は?
ブラウザ(InternetExplorer)にパッチを適用する。(又はバージョンアップする):
パッチの適用方法については、マイクロソフト社のサイトでご確認ください。
マイクロソフト社 「ホームユーザー向けセキュリティ対策 早わかりガイド」
あるいは最新の  InternetExplorer 6.0をインストールする。
(注: 必ず、Outlook Expressを含む標準構成以上でセットアップしましょう。)
|
|
