WORM_FIZZER.A - 2003/5/12

感染警報VAC-3 ウイルス対策ソフトを停止し、ハッキング活動を行うワーム「WORM_FIZZER.A」(フィザー)国内で感染報告あり

~駆除ツール無償提供~

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:スティーブ・チャン)は、ワーム「WORM_FIZZER.A」(フィザー)について国内にて被害報告が増えていることから、ウイルス警報VAC-3※1にて警告することをお知らせいたします。なお、トレンドマイクロではすでにパターンファイル532以降にて対応し※2、あわせて無償駆除ツールの提供を行っています。

※1 VAC(Virus Alert Code)
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示しています。(VAC-1が最も脅威度が高い)VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2 現在の最新パターンファイルは532です。今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_FIZZER.A」(フィザー)の特徴とその対策について

 ●ウイルスの特徴:
ワームは通常メールの添付ファイルとしてユーザのコンピュータに侵入します。添付ファイルを実行していなければワームが活動を開始することはありません。また、ファイル共有システム「KaZaa」を通じてファイルが頒布されることがあります。
ウイルス対策ソフトを停止し、バックドア型ハッキングツール的活動も行います。

●現時点(5月12日18時現在)の感染被害報告件数:日本国内11件

● 感染対象 :Windows 環境のPC

●侵入方法:
自身のコピーを電子メールに添付し任意の宛先に送信して頒布するワーム活動を行います。ワームの送信するメールの内容はランダムに変化します。添付ファイルの拡張子はEXE,PIF,COM,SCR です。
インターネット上のP2Pファイル共有システムである「KaZaa」を利用したファイル頒布も行います。

● メール経由の感染活動について:

ワームはWindowsのアドレス帳から収集したメールアドレス、および無作為に作成したアドレスに対して自身のコピーを添付したメールを送信します。これらのアドレスは差出人の詐称にも使用されます。ワームはSMTPメールを送信する機能を有しており、既存のメーラーなどを使用せずメール送信が行えます。このため、メールの送信履歴などは残りません。また、メールの内容はランダムに決定されます。
・ランダムなアドレスの作成: 
ワームはいくつかの単語や数字を組み合わせてランダムにメールアドレスを作成します。
・メール内容:
ワームの送信するメールの件名、本文は数多くの候補から選択されます。
・添付ファイル名:
ランダムに決定されます。拡張子はEXE,PIF,COM,SCR のいずれかとなります。

※送信元アドレス、メール件名および内容の候補などの詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIZZER.A&VSect=T

●破壊活動:

・セキュリティソフトプロセス停止活動:
 ワームは以下の文字列を含むプロセス名のプロセスを探して停止させます:
SCAN
TASKM
VIRUS
F-PROT
VSHW
ANTIV
NMAIN

・ワームはWindowsのレジストリに以下の値を追加します:
 場所:HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\Currentversion\Run   
 値:SystemInit = \ISERVC.EXE
これにより、Windows起動時に自動的にワームが起動されるように設定されます。
また、
 場所:HKEY_CLASSES_ROOT\txtfile\shell\open\command
の値を改変してテキストファイルのオープン時に"ProgOp.exe"が起動されるように設定します。

●ハッキングツール活動:

ワームはバックドア型ハッキングツール的活動も行います。ワームは予め設定されたIRCチャンネルに接続してメッセージを待ち受けます。外部のハッカーはワームに対してIRCメッセージの形でコマンドを送信し、実行させることができます。

●アップデート機能:

ワームは"geocities"内の任意のWebサイトに接続し、自身の機能をアップデートするためのモジュールをダウンロードしインストールすることができます。

●感染確認方法:

 ワームを実行してしまった場合には、Windowsフォルダに以下のファイルが作成されます。
initbak.dat (201,216 bytes)
iservc.exe (201,216 bytes)
iservc.dll (7,680 bytes)
ProgOp.exe (15,360 bytes)

●お勧めする対策:

・ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・ワームが実行された場合は、システムの修復の必要があるため、手動で設定を変えるか、無償駆除ツ
ールをご利用ください。

■ウイルスの詳細情報および無償駆除ツールのご案内は下記URLよりご確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIZZER.A

※TRENDMICRO、ウイルスバスターは、トレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。

今すぐウイルスチェック&駆除

セキュリティ用語を調べる

情報提供サービス

ホームページ以外でも、情報を提供しています。各種情報提供サービスもご利用ください。

メールマガジン

セキュリティの学習

『インターネット・セキュリティ・ナレッジ』は、インターネットセキュリティ全般の知識を幅広く身につけていただくためのポータルサイトです。

インターネット・セキュリティ・ナレッジ