(1)日時:2004年 4月 一番危険度の高いVAC-2。「トロイの木馬型」で、自身の複製をメールの添付ファイルとして拡散する。文字化けメールを装いDOS攻撃を行う。
(2)特徴:
ワームは実行されると、Windowsフォルダにファイルを作成し、Windowsを起動するたびにワームが自動実行されます。また、攻撃者がパソコンに侵入するための入り口が作られてしまいます。また、パソコン内のアドレスを検索し、ワーム自身が持つメール送信機能を使用し、ウイルス付きの自身のコピーを添付してメールをバックグラウンドで大量送信するマスメーリング型ワーム活動を行い、感染しているマシンを2004年4月8日〜11日の間に起動すると、
DoS 攻撃(サービス妨害攻撃) を行う。事前に次の方法により感染の有無を確認して、当該日に、DoS
攻撃の発信元にならないようにする。エクスプローラを起動し、Windows ディレクトリにsysmonxp.exe
EasyAV.exe という名称のファイルが存在するかどうか検索する。存在すれば、感染しているので、修復方法の項を参照して、修復ツール等を用いて対処する。
(3)影響を受けるシステム
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP
(4)概要
感染すると、Windows ディレクトリに zipo0.txt、zipo1.txt、zipo2.txt、zipo3.txt、zippedbase64.tmp、base64.tmp、sysmonxp.exe、firewalllogger.txt をコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
また、メールの添付ファイルを開いたとき、メッセージを表示することがあります。
(5)メール送信活動:
感染したコンピュータ内からメールアドレスを収集して、取得できたアドレス宛にウイルスメールを送信します。
メールの件名: 以下のいずれかひとつ
* Mail Delivery System (<受取人メールアドレス>)
* Failure (<受取人メールアドレス>)
* Delivered Message (<受取人メールアドレス>)
* Deliver Mail (<受取人メールアドレス>)
* Delivery Error (<受取人メールアドレス>)
例: Delivery Error (virus-test@ipa.go.jp)
件名 :以下のいずれかの可能性があります。
Hello! Hi!
Re: Important Important
Re: My details My details
Re: Your information Your information
Re: Your details Your details
Re: Your document Your document
Re: Request Request
Re: Thanks you! Thank you!
Re: Approved Approved
Re: Hello Re: Hi
Hello Hi
・添付ファイル名:
* { message、data、mail、msg } + { ランダムな数字、なし } + { .pif , .zip }
(6)対応方法
添付ファイルを開くことなく、当該メールをそのまま削除して下さい。Microsoft社の最新修正プログラムをインストールして下さい。最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」
して下さい。
(7)修復:メールの添付ファイルを介して感染を拡大します。メールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。なお、このウイルスは平成16(2004)年3月29日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できない。
トップページヘもどる