PE_MAGISTR.A - 2001/5/23
感染警報VAC-2「PE_MAGISTR.A」
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、かねてから警告していたファイル感染型ウイルス「PE_MAGISTR.A」(ピーイー マジスター ドット エー)のウイルス被害報告の増加をうけ、5月22日付でウイルス警報をVAC-3からVAC-2にレベルアップしたことをお知らせいたします。
当社では、同ウイルスに3月14日付パターンファイル862より対応しており、パターンファイル884以降では、駆除パターンをさらに強化して現在提供しています。 さらに、無償「PE_MAGISTR.A」駆除ツールを当社ホームページより提供しているほか、「PE_MAGISTR_A」のウイルス情報を、当社FAXBOXサービス(FAX番号:03-5972-5746/BOX番号:1100)より入手できますのでご利用ください。
駆除ツールURL:
http://www.trendmicro.co.jp/esolution/solutiondetail.asp?solutionId=2622
※新種ウイルス警報VAC (Virus Alert Code) … 新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。VAC-1が最も脅威度が高い。
「PE_MAGISTR」概要
「PE_MAGISTR.A」は、3月12日にスウェーデンで発見された 、32bit実行可能形式(PE形式)のファイルに感染するメモリ常駐型ミューテーション型のファイル感染型ウイルスです。ワールドワイドの感染コンピュータ台数は10,000台(当社ウイルストラッキングセンター※1調べ)を超えています。日本国内でも感染報告が徐々に増加しており、2001年5月23日現在、当社への感染被害報告は114件(トレンドマイクロ日本調べ)にのぼっています。「PE_MTX.A」同様、「PE_MAGISTR.A」は、ウイルスのプログラムが高度に暗号化されているほか、自身の感染ファイルをメールに添付して送付するワーム活動や、ハードディスク破壊活動を行うなどの複合活動を行うため、今後も注意が必要です。
●ウイルスの特徴:3つの特徴を融合した複雑なタイプ
1:ファイル感染型
32bit実行可能形式(PE形式)のファイルに感染します。さらに拡張子が.EXE(実行ファイル) または.SCR(スクリーンセーバー)のファイルに感染します。
2: メモリ常駐型
感染した後メモリに常駐します。
3: ミューテーション(ポリモフィック)型
感染するたびにそのウイルス自体の暗号化コードをランダムに改変します。
●感染経路
主にメールに添付されたファイルを実行することにより、感染活動が開始されます。
●感染対象
Windows 9x / Me / NT / 2000
●感染活動
・ワーム活動:
感染してから数分後(ウイルスがメモリに常駐するまでの時間)、Windowsのメールソフト(Outlook Express、Netscape Messengerなど)のアドレス帳に登録されている全てのメール宛先と、SMTP(Simple Mail Transfer Protcol)を利用するメールソフトの受信ボックス内に保管されている差出人すべてに対し、ウイルスに感染したファイルを添付したメールを送信します。
・データ外部漏洩:
感染コンピュータのユーザ本人が作成した文章やデータなどが、結果的にウイルスによってランダムに外部に漏洩される可能性が生じます。同ウイルスに感染したコンピュータ内の、参照済みのメールの件名、本文、また添付ファイルをランダムに流用、使用して、ウイルスメールを作成、送信します。同時にウイルス感染のない.EXE、.DOC、.TXT、.JSの拡張子のファイルを感染コンピュータ内からランダムに選んで添付する場合もあります。
・ハードディスク破壊:
Windows 9x / Meが感染した場合に限り、その脆弱性(Windows NT / 2000と違い、CMOSシステムが無防備)につけ込み、ハードディスクを破壊(CMOSのデータを消去しBIOSを破壊)してしまう場合があります。
ウイルスはこの破壊活動を行ったあと、以下の文字列を含むメッセージを表示します:
Another haughty bloodsucker・.
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT
● トレンドマイクロ製品ユーザ様向けソリューション
検出に関しましてはパターンファイル862以降、検索エンジンVSAPI5.300以上で対応いたしております。また、駆除に関しましては亜種の一部に駆除できないものが確認されておりますので、パターンファイル884以降、検索エンジンVSAPI5.310以上の使用を推奨いたします。
ただし、今後も検出駆除が行えない亜種が出現する可能性もございますので最新のパターンファイル・検索エンジンでのご使用をお勧めします。
● 現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、30日間有効期間中フル機能でご使用できる「ウイルスバスター2001」体験版をダウンロード、検知した場合手動削除手順にて削除してください。 トレンドマイクロ社ホームページより、「ウイルスバスター オンラインスキャン」にてマシンのウイルスチェックを実行し、検知した同様に手動削除してください。
●無償駆除ツール提供
無償の「PE_MAGISTR.A」駆除ツールを当社ホームページより提供しています。
駆除ツールURL:
http://www.trendmicro.co.jp/esolution/solutiondetail.asp?solutionId=2622
●トレンドマイクロFAX BOX 情報提供サービス
お手元のファクシミリから、トレンドマイクロFAX情報センターへダイヤルし、 「PE_MAGISTR.A」対策情報を受け取ることができます。24時間情報を入手することができ、通話料のみでご利用いただけます。ファクシミリから「FAX BOX情報センター」にダイヤルし、音声ガイダンスに従い、サービス内容をお選びください。
【FAX番号】03-5972-5746 【PE_MAGISTR.A情報】 BOX No.1100
● 「PE_MAGISTR.A」詳細情報
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_MAGISTR.A
● ウイルス情報
ウイルス名 | PE_MAGISTR.A (ピーイー マジスター ドット エー) | ||
別名 | ARF_JUDGE, JUDGE, PE_MAGISTR.DAM, JUDGES DISEMBOWELER, MAGISTR, TROJ_ARF_JUDGE.A | ||
ウイルス種類 | メモリ常駐型、ミューテーション型、ファイル感染型 | プラットフォーム | Win 9x/Me/NT/2000 |
暗号化 | Yes | ウイルスサイズ | 25600bytes |
発見日 | 2001年3月12日 | 対応パターン | 862(※884以降推奨) |
発病条件 1 | ファイル実行時 | 破壊活動 1 | メールを自動送信する |
破壊活動 2 | ハードディスクを破壊する |
| |
※TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※各社の社名及び製品名は、各社の商標又は登録商標です。
