ウイルス情報（W32/Badtrans）

ウイルスにご注意ください。

今　「W32/Badtrans」というウイルスが発生しています。(01-11-30)

このウイルスは、InternetExplorerのセキュリティホールを悪用しているため、
Outlookではメールを開いただけで、OutlookExpressではプレビューした
だけでもウイルスが動作します。
InternetExplorer、Outlook/OutlookExpressユーザの方は、下記のソフトをインストール
して、速やかにセキュリティホールを解消して下さい。
感染すると、パスワード等が盗まれる可能性があります。感染した場合は、ウイルスを
修復した後、パスワード等を変更しておくことをお薦めします。

対策

緊急措置
下記「検出の際の特徴点」に該当する電子メールを受け取った場合、OutlookExpress ではプレビューしただけで感染してしまう可能性があります。
OutlookExpress を起動し、ローカルフォルダを選択して、メニューバーから [表示] - [レイアウト] で「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、「プレビューウィンドウを表示する」のチェックを外してプレビューウィンドウが表示されないようにしてから、メールを削除してください。

ブラウザ（InternetExplorer）にパッチを適用する。：
InternetExplorer　5.01の場合、SP2を適用する。
InternetExplorer　5.5の場合、SP2を適用する。

感染すると MAPI（ Messaging API ）の機能を利用し、受信トレイの未読メールを探し、その返信として自身を添付してメールを送信します。またコンピュータ上の拡張子が .ASP, .HTM, .HTML などのファイルの中のメールアドレスを宛先にして自身を添付したメールを送信することもあります。また、同一のアドレスに二重に送信しないように PROTOCOL.DLL ファイルに送信したメール情報を格納します。

感染すると、自身をシステムディレクトリに KERNEL32.EXE の名前でコピーすると同時に、コンピュータの再起動時にワームが再実行されるように以下のようにレジストリ値を追加します。
　　　　　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kernel32.exe

更に、キーボード操作を記録するトロイの木馬 KDLL.DLL をインストールします。キーボード操作の記録は、CP_25389.NLS ファイルの格納され、このウイルス作者にメール送信されます。
（パスワードなどが漏洩する危険性があります）

ウイルスメールの特徴点

メールの送信者：
　　パターン1: 先頭に '_' (アンダースコア) が付いたアドレス
　　　例えば、"Name"＜_abcdef@abc.ne.jp＞のようになります。
　　パターン2: 以下のアドレスのいずれかの場合もあります。
　　　" Anna" <aizzo@home.com>
　　　"JUDY" <JUJUB271@AOL.COM>
　　　"Rita Tulliani" <powerpuff@videotron.ca>
　　　"Tina" <tina0828@yahoo.com>
　　　"Kelly Andersen" <Gravity49@aol.com>
　　　" Andy" <andy@hweb-media.com>
　　　"Linda" <lgonzal@hotmail.com>
　　　"Mon S" <spiderroll@hotmail.com>
　　　"Joanna" <joanna@mail.utexas.edu>
　　　"JESSICA BENAVIDES" <jessica@aol.com>
　　　" Administrator" <administrator@border.net>
　　　" Admin" <admin@gte.net>
　　　"Support" <support@cyberramp.net>
　　　"Monika Prado" <monika@telia.com>
　　　"Mary L. Adams" <mary@c-com.net>
　　　" Anna" <lindaizzo@home.com>
　　　"JUDY" <JUJUB@AOL.COM>
　　　"Tina" <tina08@yahoo.com>
メールの件名：
　　　パターン1: "Re:" のみ
　　　パターン2: 先頭に 'Re:' が付く、以前に送ったメールの返信の件名
　　　パターン3: 空の件名
メールの本文：
　　　空の本文
添付ファイル名：
　　　以下の単語の組合せで、拡張子が2重についています。
　　　　　　　　ｘｘｘｘｘｘ.yyy.zzz
　　　　最初のxxｘｘｘxは、
　　　　　　fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP,stuff,
　　　　　　YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, Pics,
　　　　　　SEARCHURLのうちから任意の１つ。

　　　　2番目のyyyは、DOC, MP3 から任意の１つ。

　　　　最後のzzzは, pif, scr から任意の１つ。

　　　　例えば、 Sorry_about_yesterday.DOC.pif や　Humor.MP3.scr　という添付ファイル名になります。

対処方法：

感染してしまった場合の修復方法は、下記のようなレジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です

１．Windowsをsafeモードで起動して、ウイルスが追加した以下のレジストリ値を削除します。(※2)
　　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe

２．次に、ワクチンソフトでフルスキャンし、検出したファイルを削除します。ファイルが削除できない場合は、
　　検出したファイルの名前を変更し、レジストリ設定の削除を確認後リブートしてから、名前を変更した
　　ファイルを削除します。今後、再感染しないように予防策（ＳＰ２へ入れ替える）をとります。

※2．以下のURLに、レジストリ修復ツールがあります。
山田洋行（F-Secure）：http://www.fs-support.yamada.co.jp/df/v-descs/v-descs2/bt_b_dis.htm

「W32/Badtrans」ウイルスに関する情報　
http://www.ipa.go.jp/security/topics/newvirus/badtrans-b.html

オンラインウイルススキャン
http://www.trendmicro.co.jp/hcall/scan.htm