コンピュータ・ウイルスとその周辺

  1. 変なメールを受け取ったら⇒まず、こちらを参照。
      
  2. フィッシング(Phishing)詐欺に御注意!
    • 実在の銀行、クレジットカード会社やショッピングサイトなどを装ったメールを送付し、そこにリンクを貼り付けて、その銀行・ショッピングサイトにそっくりな「罠のサイト」に呼び込み、クレジットカード番号やパスワードなどを入力させてそれを入手してしまうという詐欺。
    1. インターネット界のオレオレ詐欺
    2. 個人情報を騙し取る「フィッシング(Phishing)詐欺」
      
  3. ワンクリック詐欺にも御用心!
    • アダルトサイトのバナーや宣伝メールで送られてきたサイトにアクセスして、「規約に同意して入場」のボタンを押したら、いつの間にか契約したことになっていて会費等の請求をされた、という手口。
    • もしワンクリック詐欺にひっかかって架空請求されても、請求書等にある「IPアドレス・ホスト名・プロバイダ名」からは個人情報取得はほぼ不可能。
    • 大切なことは弱気になってお金を振り込まない・・・無視すること。
     
  4. 過去の記載
過去の記載
  1. ウイルス関連情報 
  2. チェーン・メール
    1. ウイルス絡みのデマ・メール、チェーン・メール ・・・案外、重要です。(^_^;)
    2. 輸血をめぐるチェーン・メール ・・・善意があだになることも。(・_・;)
  3. 年末年始のウイルス対策

ウイルス絡みのデマ・メール、チェーン・メール
●英文のデマメールの例
  1. 件名:Delete Possible Virus
  2. 本文:Dear All
    Sorry about this but even our latest virus protection program seems to
    have fallen down on the job. We have received a message containing a
    virus and the chances are that you have it too since you are in our
    address book. It lies dormant for 14 days and then kills your hard drive.
    Here's how to stop it. If you've got it you should send these
    instructions to everyone in your address book.

    The Directions for removing it:
    1.. Go to 'start then to 'find' or 'search'.
    2.. In the 'search for files or folders' box type in sulfnbk.exe -
    this is the virus.
日本語訳されたデマメールの例
  • 今日、知人から連絡があり、アドレスブックがウィルスに感染したので、私も調べるように言われました。このウィルスは電子メールを送付したかどうかにかかわらず、アドレスブックに登録されているすべてのアドレスに感染するそうです。
    ウィルスは jdbgmgr.exeという名前で、14日間静かにしていてシステムを破壊します。ノートンやMCAfeeのワクチンソフトでは検出できません。
    メッセンジャーを通して自動的にアドレスブックにあるアドレスに送付されます。私も下記の要領で調べましたところ、感染していましたので、削除しました。
    恐れ入りますが、下記の要領でプログラムの存在を発見し、削除し、アドレスブックに記載されている人すべてに警告してください。
    1. 画面下のスタートをクリックし、プログラムやファイルを検索するオプションをクリック。
    2. 検索するファイル名として、 jdbgmgr.exe と書く。
    3. ドライブCを検索すること。
    4. 「検索」をクリック。
    5. ウィルスは、jdbgmgr.exeのファイル名の頭にテディベアのアイコンがついている。ぜったいに開けないように!
    6. 右クリックして削除。ゴミ箱に入る。 
    7. ゴミ箱をクリックして、そこでも削除。
    ウィルスが発見された場合は、かならず、アドレスブックに記載されている人すべてに連絡してください。


新種のコンピューターウイルス「Nimda(ニムダ)」
◆米で悪質な新種ウイルス広がる テロとも関連か
http://iij.asahi.com/international/update/0919/004.html

家庭のパソコンにもインターネットのサーバーにも感染する新種のコンピューターウイルス「Nimda(ニムダ)」が確認された。
空の電子メールの添付ファイルから感染し、感染しているウエブサイトを閲覧するだけでも感染する恐れがある。日本のウエブサイトでも感染被害が出ている、と警告するワクチンソフト会社もある。感染すると、ウイルスメールを発信したり、特定のサイトに繰り返し接続を要求したりする。

18日朝に見つかり、大企業や公共機関に広がった。ネット全体の情報の流れを妨げるほどではなかったものの、ネットワークがダウンした企業もあった。同日午後までに13万のサーバーやパソコンに感染したと推定されている。
アシュクロフト米司法長官は記者会見で「同時多発テロとの関連を示すものは、いまのところない」と述べた。一方、夏に流行したコードレッドと違いパソコンにも感染することから「より大きな被害を出すかも知れない」と警戒を呼びかけている。

ワクチンソフト大手のトレンドマイクロによると、新ウイルス・ニムダは
  1. 電子メールの添付ファイルを開かなくても、ウイルスが活動し始める場合がある
  2. 企業の域内ネットワークやケーブルテレビインターネットなどで使う「共有」機能で広がる可能性が高い
  3. 感染したウエブサイトを閲覧するだけで感染する
などの感染パターンがあるという。同社は、米国の発生から8時間後に日本国内でも数カ所のウエブサイトが感染していることを確認した。感染スピードが非常に速く、「日本でもまん延の可能性が高い」と警告している。(10:23)
◆ 日本でも感染広がる新種ウイルス「Nimda」 - 至急の対策が必要
http://pcweb.mycom.co.jp/news/2001/09/19/17.html (MYCOM PC WEB)

新しいウイルス、特に危険度が高かったり、従来にないタイプのものが登場すると、ネット上には様々なニュースが駈け巡るのが常です。今まで、何度となくこのようなシーンに出会ってきましたが、新たに登場したワーム「Nimda」は、このザワザワ感において突出しています。
  • 万能ナイフのようだ
  • 全方位型
  • Code Red を超える
  • 最高レベルの危険性
  • コード・レッド + サーカム
  • メール本文のプレビューやWebページ閲覧だけで感染
既に国内でも、マイクロソフト、農水省、毎日新聞など続々と感染事例が判明しており、今後、多くの被害をもたらすことが懸念されます。トレンドマイクロが提供しているオンライン検知サービスでも、発見から24時間以内で、全世界で2万台を超えるコンピューターが感染していることが判明したとのことです。

一般ユーザーレベルでは、IE 5.01/5.5とOutlook/Outlook Expressを利用している場合が特に危険性が高いようです。対策としての Service Pack 2 のインストールは必須です。(その方法はこちら
◆ マイクロソフト、『Nimda』対策無料電話相談窓口を開設、日本NAは緊急セミナー開催
http://japan.cnet.com/News/Infostand/Item/2001-0921-J-3.html?mn
マイクロソフトは、『Nimda』ワーム関連の対策情報を提供する臨時無料相談窓口を21日開設した。Nimdaが、同社の『Internet Information Server』(IIS)サーバーのセキュリティーホールを利用して感染を広げることから、すでにIISのユーザー向けに「マイクロソフト IIS セキュリティ情報センター」を設けているが、同社製品のユーザー向けに、より広範化の相談に対応する。

 Internet Explorer(IE)、Outlook、Officeなど、Nimdaワームに影響を受ける可能性があるマイクロソフト製品のユーザーが対象。ウイルス対策ソフトメーカーのコンピュータ・アソシエイツ、シマンテック、トレンドマイクロ、日本ネットワークアソシエイツの各社と協力して、Nimdaに関する情報や検知ツール、駆除ツールなどの情報も提供していく。

 Nimdaワーム対策情報専用相談窓口は、電話番号0120-79-0196。開設時間は平日が午前9時30分〜正午、午後1時〜午後7時。土曜日は午前10時〜午後5時。日曜・祝日は休みとなるが、開設当初の9月23日と24日は土曜日と同じ時間にオープンする。

戻る

Nimda対策情報  (小林仁さん@東消ボランティア)
Nimdaワームに関する情報を提供させて頂きます。

■概要
このワームはWin9x/Me/NT/2000上で、様々な活動をするファイル感染型ウイルスです。IISが稼働しているサーバーやOutlook(Express)+IE5.xx、又は IE6.0の最小構成を使用しているクライアントマシンに感染する可能性があります。

■必須対策
IE5.01 or IE5.5を使用の方は、次のいずれかにアップグレードする。又、IE6.0を最小構成で使用している方は、改めて標準構成以上でセットアップしてください。
※大きいファイルなのでダウンロードに時間がかかります。
※低速回線の方は、雑誌付属のCD-ROMなどのご利用をおすすめします。
  1. Internet Explorer 5.01 SP2 (Windows 2000 SP2 に含まれています)
     http://www.microsoft.com/downloads/release.asp?ReleaseID=28910
  2. Internet Explorer 5.5 SP2
     http://www.microsoft.com/downloads/release.asp?ReleaseID=32082
  3. Internet Explorer 6
     http://www.microsoft.com/downloads/release.asp?ReleaseID=32351
  4. Internet Information Server(IIS) 4.0 及び IIS 5.0 を運用している方は、下記のページに従って対策する。
     マイクロソフトジャパンのNimda対策情報
     http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
■注意事項
(常識ですが)受信した添付ファイルはむやみに実行しない。上記の対策をする前は、知らないWebを見に行かない。詳しくは下記の対策ページをご覧下さい。

■感染してしまったら・・・
Nimda対策Web(トレンドマイクロ社)←無料駆除ソフト有り
http://www.trendmicro.co.jp/nimda/

戻る

TROJ_ALIZ.A
  • PE_NIMDA.A(ニムダ)でも使われたInternet Explorerのセキュリティ・ホールを悪用し、メールをプレビューしただけでウイルスが実行されます。
  • ニムダ対策と同様、下記の手順でIEのVersion upを必ず行って下さい。
  • 「W32/Aliz」ウイルスに関する情報

戻る
MSNメッセンジャーで不正スクリプトを含むURLを送信
JS_MENGER.GEN
○ウイルス活動:
マイクロソフト社製「MSNメッセンジャー」を利用し、自身の不正スクリプトを含むURLを送信します。不正プログラムの送信するメッセージは以下の内容です。
ATTeNT!oN - Go to:
http://www.<安全のため具体的なURLは伏せます>.com/elite_Xjp/teztx1.htm
Now
このURLにアクセスすると別にブラウザのウインドウが起動し、フルスクリーンで表示されます。この別ウインドウは
'res://<安全のため具体的なURLは伏せます>/blank.htm' のURL
を表示します。これにより「JS_MENGER.GEN」のスクリプトが実行されます。

「JS_MENGER.GEN」は実行されると以下の文字列のメッセージを表示しユーザを欺きます。
'Please Wait...'
その後さらに別ウインドウを開き、MSN(マイクロソフトネットワーク)への自動ログオンを試みます。同時にMSNメッセンジャーに登録されたメンバー名やログオンネームなどの情報を収集し、特定のメールアドレスおよびWebサーバに送信します。
「JS_MENGER.GEN」は最終的にMSNメッセンジャーに登録されたメンバー全員に、不正スクリプトを含んだメッセージを送信し、終了します。

戻る
日本語文字列が含まれるメールをばらまくウイルス
ついに日本語文字列が含まれるメールをばらまくウイルスが発生したようです。「日本語が含まれない」&「添付ファイルあり」の条件ではウイルスメールが排除できなくなりました。(T.T)

WORM_FBOUND.B
これはワームに分類されるトロイの木馬型不正プログラムです。
自身のコピーを電子メールに添付して任意の宛先に送信し、ネットワーク上で自己増殖するワーム活動を行います。
ワームの送信するメールは以下の内容です。
メールの件名は、宛先に設定されたメールアドレスにより異なります。
 件名:<何らかの日本語文字列> または Important
 本文:なし
 添付ファイル:PATCH.EXE


 Blaster:ワーム機能をもったトロイの木馬型悪質な不正プログラム
  1. 名前
    • WORM_MSBLAST.A[Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda]、W32/Lovsan.worm [McAfee], Win32.Poza [CA], Lovsan [F-Secure]
  2. 対象
    • Windows 2000/NT、Windows XP  (Windows 95/98/98SE/Meでは感染しない)
  3. 特徴・・・詳細はこちら(Microsoft;Blasterに関する情報)
    • Microsoftの修正プログラムを提供するサイトなどを攻撃するウィルス
    • ウィルスが活動を開始するとされる8月16日にはオンライン修正プログラムが使えなくなる可能性さえあり、極めて危険
  4. 感染の方法
    • このウィルスはウィルスメールを発信するのではなく、相手のコンピュータにインターネットを経由して直接ウィルスを送り込む
    • ワームはランダムなIPアドレスのポート135番にアクセスし、Windowsのセキュリティホール「RPC DCOM バッファオーバーフロー」[MS03-026]を攻撃する。対象のIPアドレスにセキュリティ未対策のコンピュータが存在した場合、ワームが乗っとり状態にする。
    • システム日付が以下の条件だった場合、ワームは発病し、“windowsupdate.com”に対してDoS攻撃(サービス不能攻撃)を開始
      1. 「月」が9月〜12月
      2. 「月」が1月〜8月で「日」が16日〜31日
    • 8月11日以前に MS03-026 のセキュリティ修正プログラムをダウンロードし、インストールした場合、この脆弱性による影響からは保護されている。
  5. 予防
  6. 対策
    1. まずインターネットへの接続を切断します(回線を切ります)。
    2. Blasterウイルスでは感染すると、マシンが自動的に再起動を繰り返す為、修復作業が困難になるので、タスクマネージャを起動して、ワームのタスクMSBLAST.EXEを停止する。
      • タスクマネージャの使用法
        1. Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開く。
        2. [タスクマネージャ] をクリック。
        3. [プロセス] タブをクリック。
        4. 一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示にする。
        5. "msblast.exe" を探して、
          1. 存在しない場合はタスクマネージャを終了し、上記の予防対策を行う。
          2. 存在する場合はワームに感染しているので、
            1. まず"msblast.exe" をマウスでクリック。
              • "DLLHOST.EXE"及び"winppr32.exe" もチェック(理由はこちら
            2. [プロセスの終了] ボタンをクリック。
            3. タスクマネージャーの警告が表示されるので、 [はい] をクリック。
            4. msblast.exe プログラムが消えたことを確認し、タスクマネージャを終了する。
            5. 下記に従いワームを駆除する。
    3. 感染していたら、下記のウイルス駆除ツールを使用して駆除する
                         (手動での駆除方法は下記
      1. シマンテック社:W32.Blaster.Worm 駆除ツール (無償駆除ツール) http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
      2. トレンドマイクロ社:トレンドマイクロシステムクリーナー ver. 3.0(TSC) (無償駆除ツール) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
      3. ネットワークアソシェィツ:AVERTウイルス駆除ツールStinger(スティンガー)(無償駆除ツール) http://www.nai.com/japan/security/stinger.asp
      4. F-Secure:http://www.f-secure.co.jp/disinf-info.html
      5. Panda:http://www.pandasoftware.com/activescan/jp/activescan_principal.htm
      6. インターネット セキュリティ システムズ株式会社:RealSecure Desktop Protector (無償予防ツール) http://www.isskk.co.jp/security_center/147/solution.html
      7. 株式会社ラック:http://www.lac.co.jp/security/jsoc/report/index.html
  7. 関連サイト
●手動によるBlaster駆除の手順

Blaster ワームの駆除には、「はじめに」に記載しているパートナー企業が提供している駆除ツールを利用することも出来ます。以下は、手動による駆除の手順です。現段階では、まだネットワークに接続しないでください。
  1. ワームの実行を停止する。
    1. Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
    2. [タスクマネージャ] をクリックします。
    3. [プロセス] タブをクリックします。
    4. 一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順の表示にします。
    5. "msblast.exe" を選択します。
    6. [プロセスの終了] をクリックします。
    7. "タスクマネージャの警告"が表示されます。 [OK] ボタンをクリックしてウインドウを閉じます。
    8. タスクマネージャを終了します。
  2. ワームを削除する。
    1. [スタート] - [ファイル名を指定して実行] を開きます。
    2. 名前に cmd を入力します。
    3. [OK] ボタンをクリックします。
    4. cmd.exe (コマンド プロンプト) が開きます。
    5. 以下のコマンドを入力し、ENTER または RETURN キーを押し、実行します。
        cd %windir%\system32
    6. 以下のコマンドを入力し、ENTER または RETURN キーを押し、実行します。この操作により、ワームが削除されますが、実行前に入力に間違いが無いか十分に確認をお願いします。
        del /f MSBLAST.EXE
    7. ワームが存在しなかった場合にコマンド実行後に次のメッセージが表示される場合があります。 この場合は、コンピューター上にワームが存在しないことを意味します。
        MSBLAST.EXE が見つかりませんでした。
    8. cmd.exe (コマンド プロンプト) を閉じます。
  3. レジストリを削除する。
    1. [スタート] - [ファイル名を指定して実行]を開きます。
    2. 名前に regedit を入力します。
    3. [OK] ボタンをクリックします。
    4. レジストリ エディタ が開きます。
    5. 以下のレジストリキーを開きます。
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    6. 右側の一覧から "windows auto update" の項目を選択します。
    7. 右クリックのメニューを表示し、[削除] をクリックします。
    8. "値の削除の確認"が表示されます。
    9. [はい] をクリックします。
    10. レジストリ エディタ を閉じます。