WORM_LIRVA.C - 2003/1/10

感染警報VAC-3 複数の感染経路を持ち、ダイアルアップ接続に利用するIDを漏洩するワーム「WORM_LIRVA.C」(リルヴァC)

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、複数の感染経路を持ち、ダイアルアップ接続に利用するIDを漏洩するワーム「WORM_LIRVA.C」(リルヴァC)について、フランスを中心にヨーロッパにて感染報告が急増し、日本国内においても企業にて感染が確認されていることから、ウイルス警報VAC-3※1にて警告をすることをお知らせします。
トレンドマイクロ製品ではすでにパターンファイル435以降にて対応※2しています。

※1 VAC(Virus Alert Code):トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示しています。(VAC-1が最も脅威度が高い)VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2 今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_LIRVA.C」(リルヴァC)の特徴と対策

●ウイルスの特徴:
「WORM_LIRVA.C」(リルヴァC)は一般的にワーム活動に利用される電子メールの他、ネットワークドライブへのファイルコピーやチャットシステムである「IRC」、メッセージングシステムである「ICQ」、P2Pファイル共有ソフトの「KaZaA」を通じて自身のコピーを頒布します。
また、ダイアルアップ接続に利用されるアカウント名、パスワードの情報パスワードを外部に漏洩(メールで送信)するハッキング活動やウイルス対策ソフトなどを停止させる破壊活動を行います。 
以上の基本的な活動はオリジナル「WORM_LIRVA.A」と同様ですが、今回の亜種「C」では下記3点が異なります。

(1) ワーム実行時にWindowsのエクスプローラが強制終了されることにより、タスクバーおよびデスクトップアイコンが表示されなくなる。
(2) 設定されたサイトからバックドア型ハッキングツールをダウンロードし、システムにインストールする。
(3) ローカル内のHTML文書ファイルに不正スクリプトをコピーする。

ウイルス付メールの特徴は下記のとおりです。

送信者: Windowsアドレス帳(WAB)とローカルにある拡張子 .MBX, .WAB, .DBX, .HTM, .TBB, .SHTML, .NCH, .IDX のファイルを検索してアドレスを取得し、ランダムに選んだものをメールの送信者(From:)フィールドにセット(送信者詐称)
受信者(あて先):上記同様に取得したファイルから抽出したアドレス全て

件名:ウイルスが持つ、16個の候補の中から選ばれる

本文:下記3種類のいずれか
(1)"Network Associates weekly report:"で始まるマイクロソフト社のソフトに関するセキュリティ情報
(2)(3)"AVRIL LAVIGNE - THE BEST"または"AVRIL LAVIGNE - THE CHART ATTACK!"で始まる、歌手アヴリル・ラヴィーンの情報

添付ファイル名:ウイルスが持つ、21個の候補の中から選ばれる

※ウイルス名は本文のAVRIL LAVIGNEよりとったものだと思われます。

ウイルスの活動およびウイルス付メールの詳細はウイルス情報の詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_LIRVA.C&VSect=T

●ウイルスへの対策:
「KLEZ」同様、Internet Explorerのセキュリティホール※1を悪用し、メールやメールに添付されたファイルを開かずとも、プレビュー機能にてメール本文を見たり、カーソル(マウス矢印)をあてるだけでウイルスが活動を開始する仕組みになっています。お使いのInternet Explorerに対策がなされているかどうかすぐ確認ください。
なお、ダイレクトアクション対策を行っていても、本文にてセキュリティ情報や人気歌手の情報を騙るなどして添付ファイルを開かせようとしますので、騙されないようご注意ください。

※1 このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。マイクロソフト社 TechNet セキュリティセンター:
http://www.microsoft.com/japan/technet/security/default.asp

●現時点(1月10日11時現在)の感染被害報告件数:世界20件 日本国内1件

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。

セキュリティ情報 - 最新のWebからの脅威について

Web: 中

迷惑メール: 中

不正プログラム: 中

ウイルスデータベース

解析者によるブログ

セキュリティの学習

セキュリティ情報

最新のWebからの脅威について

セキュリティ用語を調べる

情報提供サービス

ホームページ以外でも、情報を提供しています。各種情報提供サービスもご利用ください。

メールマガジン

セキュリティの学習

『インターネット・セキュリティ・ナレッジ』は、インターネットセキュリティ全般の知識を幅広く身につけていただくためのポータルサイトです。

インターネット・セキュリティ・ナレッジ