WORM_FRETHEM.K - 2002/7/15

"感染警報VAC-2　「WORM_FRETHEM.K」（フレゼムK）

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長：スティーブ・チャン）は、「Re: Your password!」の件名で届くウイルス「WORM_FRETHEM.K」について、ウイルス警報VAC-2※1にて警告することをお知らせいたします。なお、トレンドマイクロではすでにパターンファイル317にて対応※2しています。

※1 VAC（Virus Alert Code）
トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を1～5までのレベルで表示しています。（VAC-1が最も脅威度が高い）VACについての詳細は下記URLよりご確認ください。
http://www.trendmicro.co.jp/virusinfo/vac.asp
※2 今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_FRETHEM.K」の特徴とその対策について

● 現在の感染被害状況（2002年7月15日17時30分現在）
国内：44件

● ウイルスの特徴：
大流行した「NIMDA」や「KLEZ」同様、Internet Explorerのセキュリティホール(MS01-020)を悪用し、メールやメールに添付されたファイルを開かずとも、プレビュー機能にてメール本文を見たり、カーソル（マウス矢印）をあてるだけでウイルスが活動を開始する仕組みになっています。
ウイルス活動の特徴は下記のとおりです。

1. ウイルス付メールの送信
ワームはWindowsのアドレス帳ファイルと拡張子.dbx（＝OutlookExpressのメールアーカイブ）のファイルからアドレスを取得し、自身のコピーを添付したメールを送信します。自力でメール送信を行うため、使用しているメールソフトなどに送信履歴は残りません。

ウイルス付メールの主な特徴は下記のとおりです。
件名 ： Re: Your password!
本文 ： ATTENTION!　から始まります。
添付ファイル ： "decrypt-password.exe"　もしくは　"decrypt-password＃.exe"　
（「＃」は一桁のランダムな数字。）

2. Webサイトへのアクセス
ワームはシステム常駐後、Web広告サイトの紹介システムのポイントを稼ぐため、複数のURLへアクセスを試みます。

● お勧めする対策：
・ ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・ Internet Explorer の修正プログラム（セキュリティパッチ）※3を導入してください。
・ 「Re: Your password」という件名のメールは見ずに削除してください。

● トレンドマイクロ製品をお使いの方： 
トレンドマイクロ製品では、本ウイルスに対しパターンファイル317以降で対応します。件名等が固定のため、「InterScan eManager」で該当のメールをブロックする方法も有効です。
今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイル等は最新の状態でお使いください。

※3　Internet Explorerのセキュリティホールについて
ニムダの大流行以降、同様のセキュリティホールを悪用するウイルスが続出しています。このセキュリティホールは、Windows版（Windows XPを除く）のInternet Explorerで、4.xおよび5.xをお使いの場合に存在します。Internet Explorer 6（Outlook Expressを含む標準構成以上）へバージョンアップするか、Internet Explorer 5.xの場合はService Pack 2を適用し、セキュリティホールをふさぐようにしてください。

このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします；
マイクロソフト社　TechNet セキュリティセンター：
http://www.microsoft.com/japan/technet/security/default.asp

「WORM_FRETHEM.K」の 概要

● 感染対象
Windows 環境のPC

● 感染・侵入経路
プログラムを実行するとWindowsディレクトリに"Taskbar.exe"のファイル名で自分のコピーを作成し、実行します。そしてWindowsのレジストリに以下の記述を追加します：

場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値　: "Task Bar"="＜Windowsディレクトリ＞\taskbar.exe"

これによって次回以降のWindows起動時にワームが自動起動されます。
ワームは最終的にシステムに常駐します。ワームのプロセスはWindowsのタスクマネージャーに表示されます。

● ワーム活動（増殖の仕方）
ワームはWindowsのアドレス帳ファイルと拡張子.dbx（＝OutlookExpressのメールアーカイブ）のファイルからアドレスを取得し、自身のコピーを添付したメールを送信します。　ワームはSMTPのメールクライアントとしてメールを送信する機能を持っており、自力でメール送信を行うため、ユーザーが使用しているメールクライアントなどに送信履歴が残ることはありません。ワームはメール送信のためにユーザーが使用しているメールサーバーの情報をレジストリから取得します。ワームが送信するメールは以下の内容です。

件名 ： Re: Your password!

本文 ： ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

(＜ユーザー名＞)
添付ファイル ： "decrypt-password.exe"　もしくは　"decrypt-password＃.exe"　
（「＃」は一桁のランダムな数字です。）

● その他の活動
ワームは最終的にシステムに常駐し、活動を続けます。Windowsのタスクマネージャー上ではワームのタスクは"SETUP"もしくは"SETUP.EXE"の名称で表示されます。ワームはシステム常駐後、複数のサイトにアクセスを試み続けます。これはWeb広告サイトの紹介システムのポイントを稼ぐためと思われます。

● 「WORM_FRETHEM.K」に感染していないか確かめる方法
ウイルス対策製品がある場合
1）最新の検索エンジン・パターンファイルにアップデートしてください。
2）「手動検索」にてシステム全体を検索してください。

ウイルス対策製品がない場合
トレンドマイクロ社ホームページより、「オンラインスキャン」にてマシンのウイルスチェックを実行してください。
「オンラインスキャン」URL：
http://www.trendmicro.co.jp/hcall/index.asp

● ウイルス対策製品や「オンラインスキャン」でウイルスを検出（見つけた）した場合
本ウイルスは感染活動を行わないため「駆除」処理はできません。検出したファイルを削除してください。

「ウイルスバスター2002」ご利用の場合、標準設定では今回のような「トロイの木馬型」ウイルスは「隔離」されます。「隔離」された場合は、ウイルスが活動する心配はありません。
「隔離」フォルダ内のウイルスを削除したい場合は、プロフェッショナルモード画面より、「ウイルス隔離」機能を選択し、ウイルスを指定、削除ボタンをおしてください。

● ウイルスに関する詳細は下記URLよりご覧ください
このウイルスに関しては現在も解析中です。ウイルスに関する最新詳細情報は下記URLよりご覧ください。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K&VSect=T

※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。