米SANS Instituteは24日、ウイルス「BlackWorm」が感染を拡大していると警告した。BlackWormは、2月3日にPC内のファイルを破壊する活動を引き起こすことが判明しており、ユーザーに注意を呼びかけている。
BlackWormは、現時点ではセキュリティベンダー間で名称が統一されていない。トレンドマイクロでは「WORM_GREW.A」、シマンテックでは「W32.Blackmal.E@mm」、マカフィーでは「W32/MyWife.d@MM!M24」、ソフォスでは「W32/Nyxem-D」と命名しているが、いずれも同じウイルスを示している。米US-CERTがウイルスに通し番号を割り当てるCME(Common Malware Enumeration)では、ウイルスの共通IDとして「CME-24」を割り当てている。
BlackWormに感染すると、PC内のファイルからメールアドレスを収集し、ウイルスを添付したメールを大量に送信するほか、アクセス可能な共有フォルダにウイルスのファイルをコピーする。また、各種ウイルス対策ソフトなどの活動を停止させ、ウイルス対策ソフト関連のファイルをPCから削除する。
さらに、2月3日には、特定のファイルを破壊することが確認されている。対象となるのは、拡張子が「.doc」「.xls」「.mdb」「.mde」「.ppt」「.pps」「.zip」「.rar」「.pdf」「.psd」「.dmp」の各ファイルで、ファイルが“DATA Error [47 0F 94 93 F4 K5]”といった文字列で上書きされてしまう。
また、BlackWormに感染したPCは特定のWebに「報告」を行ない、そのWebではBlackWormの「感染数」をカウンターで表示している。そのWebによれば、感染数は既に70万台を超えているとしている。
BlackWormへの対応策としては、各社のウイルス対策ソフトが既に対応を済ませているため、パターンファイルを更新するとともに、不用意にメールの添付ファイルを開かないことが挙げられる。
関連情報
■URL
SANS Instituteによる警告(英文)
http://isc.sans.org/diary.php?storyid=1067
CME-24(英文)
http://cme.mitre.org/data/list.html#24
トレンドマイクロによるウイルス情報(WORM_GREW.A)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FGREW%2EA
シマンテックによるウイルス情報(W32.Blackmal.E@mm)
http://www.symantec.co.jp/region/jp/avcenter/venc/data/[email protected]
マカフィーによるウイルス情報(W32/MyWife.d@MM!M24)
http://www.mcafee.com/japan/security/virM.asp?v=W32/MyWife.d@MM!M24
ソフォスによるウイルス情報(W32/Nyxem-D)
http://www.sophos.co.jp/virusinfo/analyses/w32nyxemd.html
( 三柳英樹 )
2006/01/25 13:54
- ページの先頭へ-
|