WORM_BADTRANS.B - 2001/11/30

感染警報VAC-２に引き上げ「WORM_BADTRANS.B」

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長：スティーブ・チャン）は、既にパターンファイル１７０（または９７０）以降にて対応済みの「WORM_BADTRANS.B」（バッドトランスB）について、日本国内で感染被害報告の急増（１１月３０日現在　累計約６００件）が確認されているため、本日ウイルス警報VAC-２※1に引きあげて警告することをお知らせいたします。

バッドトランスBは、「WORM_ BADTRANS.A」の亜種で、感染力がより強力になっています。自身のコピーをメールに添付して送信することで自己増殖します。大流行した「NIMDA（ニムダ）」と同様、Internet Explorerのセキュリティホールを悪用し、メールやメールに添付されたファイルを開かずとも、プレビュー機能にてメール本文を見てしまっただけでウイルスが活動を開始する仕組みになっています。こうした仕組みを持つウイルスの出現が増えており、感染を急速に広げています。　　

また同ウイルスに感染したPCでは、ユーザがキーボード入力によってデータを打ち込んだ際、ウイルスがその打ち込んだ内容を記憶します。この記憶したデータを感染メールと共に外部へ流出する可能性もあるため、情報漏洩の恐れがあります。

ウイルス対策製品のパターンファイルおよび検索エンジンは常に最新のものをお使いいただくと共に、Internet Explorer のOS修正プログラム（セキュリティパッチ）を導入することをおすすめします。　
※1 VAC（Virus Alert Code） トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を１～5までのレベルで表示しています。（VAC-１が最も脅威度が高い）

「WORM_BADTRANS.B」の概要

● 感染対象
Windows 環境のPC

● 感染経路
e-mailの添付ファイル

● 感染を防ぐための注意事項

【トレンドマイクロ製品をお使いのお客さま】
トレンドマイクロ製品では、本ウイルスに対し、既にパターンファイル１７０（または９７０）以降で対応しています。お使いの製品のパターンファイルを最新のものに更新してください。
このウイルスは一個のプログラムのため「駆除」処理はできません。ウイルスが検出された場合は、単純にファイルを削除してください。
※ 感染メールが届いてしまった場合
「WORM_BADTRANS.B」はウイルスコードのバグのためか不完全なメールを送信してしまい、結果的にワームの脅威のないメールが届く場合があることが確認されています。「WORM_BADTRANS.B」ては添付ファイルが壊れた状態で届き、実行できません。この状態のメールに関してはワームの脅威がないのでウイルス対策製品では検出されません。いずれにいたしましてもワームの危険性があるメールをすべて削除していただくようお願いします。
また、「ウイルスバスター２００１」でメール検索機能を有効にしている場合、正常にメールが受信できない場合があります。その際は、リアルタイム検索を有効にしたうえでメール検索機能を解除し、メールを受信してください。該当のメールを削除した後、再びメール検索機能を有効にしてください。または「ウイルスバスター２００２」に更新されることをおすすめいたします。

【すべてのお客さま】
不審な添付ファイルは絶対に実行しないことを心がけるとともに、最新のウイルス対策ソフトでコンピュータをリアルタイムにウイルス検索することをおすすめします。
ニムダの大流行以降、同様のセキュリティホールを悪用するウイルスが続出しています。このセキュリティホールは、Windows版（Windows XPを除く）のInternet Explorerで、４.xおよび５.xをお使いの場合に存在します。Internet Explorer 6（Outlook Expressを含む標準構成以上）へバージョンアップするか、Internet Explorer 5.xの場合はService Pack 2を適用し、セキュリティホールをふさぐようにしてください。

このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。

不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付 ファイルを実行する (MS01-020)
※この問題はIE5.xxSP2により回避できるようです。IE6の場合、「最小構成」のインストールではこのセキュリティホールは回避できません。

マイクロソフト製品のセキュリティホール情報に関しましては Microsoft TechNet セキュリティセンター をご参照ください。

● 「WORM_BADTRANS.B」を検出した場合
同ウイルスは単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。検出したファイルはすべて「削除」処理を行ってください。

もしワームが実行されたことによりシステムが改変された場合は、以下の手順で修復を行う必要があります。

手動削除手順：
安全のため、可能であればWindowsをセーフモードで起動して行ってください。
1) 不正プログラムの自動起動設定を削除します。 Windowsのレジストリエディタ(regedit.exe)などを使用してレジストリの以下の値を削除してください。

場所：\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
値：kernel32

2) 再起動後、ウイルス検索を行って検知したファイルを全て「削除」してください。
また、受信したワームのメールと思しき不審なメールはすべてメールボックスから手動で削除してください。削除の際にはメールでのダイレクトアクション活動を防ぐため、後述のセキュリティホールへの対応を行ってください。同時に「OutlookExpress」の｢プレビューウインドウ」表示を行わない設定にすることをお勧めします。「OutlookExpress」メニューバーの「表示」→「レイアウト」タブ画面から「プレビューウインドウを表示する」チェックボックスのチェックを外してください。

● ウイルスの活動
ウイルス感染メール送信により自己増殖をする[ワーム活動]と不正アクセスによる[ハッキング活動]の２つの動きを行います；
[ワーム活動]
MAPI(Massage API･･･異機種間接続における電子メッセージングアプリケーションの標準インターフェイス)を使用するメールソフトの設定を調べ、自身のコピーを添付したメールを自力で送信するワーム活動を行います。

◆メール送信：
以下のレジストリからデフォルトメーラー情報を取得できた場合、メール送信に利用します。
場所：\HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\0000000
値：SMTP Email Address
値：SMTP Server
◆送信者アドレス（From）：
上記レジストリより取得したメールアドレス、もしくは幾つかの候補の中から無作為に選択したものが使用されます（候補一覧はウイルス情報をご覧下さい）
◆送信先：
ワームは以下から取得したアドレスにメールを送信します：
a．受信トレイにある未読メールの送信者のアドレス
b．「マイドキュメント」フォルダ及び「temporary Internet files」フォルダ内にある"*.HT*、"*.ASP"（「*」はワイルドカード）というファイル名のファイル内から取得できたメールアドレス
◆メール件名：
"info" 、"docs"、 "Humor"、"fun" のいずれかから無作為に選択したものが使用されます。ただし、上述送信先 a.の未読メールの送信者のアドレスに対して送信する場合は元メールの件名の先頭に"Re:"をつけたものになります
◆添付ファイル名：
いくつかの候補から無作為に選択したものを使用した二重拡張子のファイル名（"［ファイル名］.［拡張子１］.［拡張子２］"の形式）となります
◆ファイル名候補：幾つかの候補の中から無作為に選択したものが使用されます（候補一覧はウイルス情報をご覧下さい）
拡張子1候補：
.DOC. 、".ZIP."、".MP3."のいずれかから無作為に選択したものが使用されます
拡張子2候補：
"scr" または"pif"のいずれかから無作為に選択したものが使用されます
◆添付ファイル名例：
Pics.DOC.scr、Sorry_about_yesterday.MP3.pif　など
◆メール本文：
空白

[ハッキング活動]
感染したPC上で行ったキー入力を、ウイルスにより記録された場合、その情報は外部に送信される可能性があります。
ワームはシステムのRASアカウントやコンピューター名を取得する活動を行います。ハッキングツール部分である"kdll.dll"はメモリに常駐し、キー入力を記録する活動を行います。"kdll.dll"は"GetData"、"KeyLogOn"、"KeyLogOff"、"KeyLogOpt"の４つのファンクションを監視するとともに、すべてのキー入力を入力したユーザー名や入力された時間などの情報とともに記録します。
キー入力ログの例：
Sun, 25 Nov 2001 06:39:49, Computer: "PC1" User:
Administrator

Title: "Run", 06:41:04
cmd.exe

Title: "Untitled - Notepad", 06:41:13
Testing keylogging in notepad.

● 「WORM_BADTRANS.B」自動修復ツール
こちらからダウンロードしてください。使用上の注意をよくお読みの上、ご使用ください。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368

● ウイルスに関する詳細は下記URLよりご覧ください
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_BADTRANS.B

● 現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、「オンラインスキャン」にてマシンのウイルスチェックを実行し、 検出した場合、手動または上記のツールにて駆除してください。

「オンラインスキャン」URL： http://www.trendmicro.co.jp/hcall/inex.asp

※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。