Palm84 某所の日記

クマのみ胸をこがすと思へば...

BAGLE.AT と NETSKY.Q

このウイルスメールが最近よく来ます。

BAGLE.AT(AV)

タイプとしては「マスメーリング型ワーム」ってことでありきたりな気がしますが、詳細を見ると「ファイル共有ソフト」で拡散してるんでしょうか?

・ワーム活動(各種共有の利用):
 ワームは "shared" という文字列を含むフォルダに自身のコピーを作成します。これは共有フォルダやP2Pファイル共有システムによるファイル共有を利用して自身のコピーを他のユーザに取得させることを狙ったものです。
 作成されるコピーのファイル名は以下の通りです:

  • ACDSee 9.exe
  • Adobe Photoshop 9 full.exe
  • Ahead Nero 7.exe
  • Kaspersky Antivirus 5.0
  • KAV 5.0
  • Matrix 3 Revolution English Subtitles.exe
  • Microsoft Office 2003 Crack, Working!.exe
  • Microsoft Office XP working Crack, Keygen.exe
  • Microsoft Windows XP, WinXP Crack, working Keygen.exe
  • 以下略・・・

なんか、高そうなソフトばっかしですね。私は自他ともに認めるライセンス「マニア」(笑)なので(←貧乏人の見栄!とも言う)、クラック版のメリット(?)ってよくわかりませーん。

NETSKY.Q

さすがに「Klez」は最近来なくなりましたが、こっちはまだまだ感染者多いようです。セキュリティホールのあるPCではHTMLメールを開いた(またはプレビューした)だけで添付ファイルが強制実行されて感染します。(もちろんウイルス対策ソフト入れてるなら防御されます)

「Antidote」なんかで【Exploit.IFrame.FileDownload】が検出されることがあります。これはHTMLメール内に書かれたコード(HTMLソース)を検出してるだけですので本体(添付ファイル)がないなら心配ないのです。(不要だから当然削除すべきですけど)もちろん、セキュリティホールがなければ自動実行もされません。
Nortonなどでウイルスメールを検出(削除)したのに「Antidote」でこれが検出されたりします。

IE5.01SP2、IE5.5SP2、IE6、WindowsXPにはこのセキュリティホールはありません。Windows Updateを購入以来殆どした事がない人が感染してるのだと思います。中にはプロバイダからの「警告」を無視し続けて切断されちゃった人もいるとか。確かにプロバイダに処置依頼を送っても収まるまで1ヶ月ほどかかることも稀じゃないですね。

社内LANなどでは、ウイルスメールが飛び交うのでこの手のワームは発見されやすいと思います。でも家庭ユーザーだとなかなか気づかないんじゃないかな?また、最近のワームは他のワームを駆逐して(下克上状態)居座りますんで、検出して駆除できるのは用済みになったものだけの場合もあるかもですね。

私個人ではもう慣れてるのであんまり迷惑とか感じません。(サイトにアドレス載せなければ来なくなるんでしょうけど、その代りに別の方に送られるわけだし)でも、周囲に「セキュリティ対策」の低いPCを見つけたなら注意しましょう。手遅れになる前に・・・「ただの」ワームじゃないかもしれませんし。