コンピュータウイルス「W32/Badtrans」について

2001.11.29

後述する「注意すべきメール」を受信した場合には、そのファイルを開かないでください。

このメールに添付されたファイルを開くとコンピュータウィルス「W32/Badtrans」に感染します。

このウィルスが添付されたメールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでもウィルスが動作する場合がありますので、注意してください。

Nimdaウィルスの対策と同様、InternetExplorerのセキュリティホールを解消しておくことが必要です。

詳細情報

　2001年11月24日付けで、ウィルス情報を公開しているサイトや、ネットワークニュース等で、Windows環境のパソコンを対象とする、ワーム型ウィルス「W32/Badtrans」を発見したという報告が行われています。日本でも感染の被害が急増しているとのことです。 　このウィルスは、大きく分けて２つの活動をするので注意が必要です。

1. パソコンを起動するたびに、ウィルス自身を添付してメールを送信します。（ワーム活動）
2. パソコン利用時のキー入力を記録し、その内容をあるメールアドレスへ送信します。 （ハッキング活動）

• 概要
  • このウィルスは、後述する「注意すべきメール」の添付ファイルで感 染を広げるワーム型ウィルスとしてメールで被害を広げます。 InternetExplorerのセキュリティホールを利用し、Outlookではメールを開い ただけで、 OutlookExpressではプレビューしただけでもウィルスが活動を開始します。
    活動内容は受信トレイにある未読メールの送信者のメールアドレス、および「マイドキュメント」フォルダ、「temporary Internet files」フォルダ内にあるファイル内から取得できたメールアドレスに自身のコピーを添付したメールを送信します。
  • また、自身をシステムディレクトリに KERNEL32.EXE の名前でコピーし、コンピュータの再起動時にワームが再実行されるように設定するため、パソコンを起動するたびに、ウィルスを添付したメールを送信します。
  • 更に、パソコンのキーボード操作を記録するプログラムをインストールします。この記録したファイルは、あるメールアドレス宛に送信されます。

• 対策
  • 後述する「注意すべきメール」を受信した場合には、そのファイルを開かないでください。
  • Nimdaウィルスと同様、InternetExplorerのセキュリティホールを利用していますので、サービスパックを適用してセキュリテイホールを解消することが必要です。
  • OutlookExpressを利用している場合には、メニューバーから [表示] - [レイアウト] で「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、「プレビューウィンドウを表示する」のチェックを外してプレビューウィンドウが表示されないように設定変更することで、自動的にウィルスが起動することを防ぐことが可能です。

• 注意すべきメール
  • 送信者アドレス（From)が、以下のいずれか。
    " Anna" "JUDY" "Rita Tulliani" "Tina" "Kelly Andersen" " Andy" "Linda" "Mon S" "Joanna" "JESSICA BENAVIDES" " Administrator" " Admin" "Support" "Monika Prado" "Mary L. Adams" " Anna" "JUDY" "Tina"

  • メールの件名（Subject）が、以下のいずれか。
    • 「Re:」のみ
    • 先頭に 「Re:」 が付く、以前に送ったメールの返信の件名
    • 空の件名

  • メールの本文は、空。

  • 添付ファイル名が、fun.DOC.pif やHumor.MP3.scr 等といった、拡張子が２つついているもの（３つ目の拡張子は表示されない場合もありますので注意してください）。
    拡張子で区切られた３つの名前は（xxxxxx.yyy.zzz）は以下のいずれか。
    • 最初の「xxxxxx」は、以下の候補のいずれか。
      fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP,stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, Pics, SEARCHURL
    • 2番目の「yyy」は、DOC, MP3 のどちらか。
    • 3番目の「zzz」は、pif, scr のどちらか。

• 感染したら
  • そのコンピュータのネットワーク接続ケーブルをはずすなどしてネットワークへの接続を遮断し、ウィルスの発信源とならないようにしてください。
  • 以下の関連情報を参考に、修復（ウィルスの駆除）作業を行ってください。

• 情報を掲載するサイト
  • IPA：http://www.ipa.go.jp/security/topics/newvirus/badtrans-b.html
  • トレンドマイクロ：http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM%5FBADTRANS%2EB
  • シマンテック：http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html
  • ネットワークアソシエイツ：http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
  • CSE（Sophos）：http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32badtransb.htm
  • 山田洋行：http://www.fs-support.yamada.co.jp/df/v-descs/v-descs2/badtrans.htm