メールを使って増殖する“ワーム”が、インターネット上で猛威をふるっている。“ワーム”とは、自分自身の複製を作って強制的に他に送りつけて増殖するもの。これに対して“ウイルス”は、ファイルに感染して自分自身を複製するものを指す。
今回報告されているワームは一般に“ExploreZip”と呼ばれているもの。ファイルを添付したメールの形で、ユーザーのもとに届く。
添付されているのは、“zipped-file.exe”というファイル名の実行ファイルで、ファイルサイズは210432バイト。受け取ったユーザーがzipped-file.exeを実行すると、使用中のマシンがExploreZipに感染する。ExploreZipはイスラエルで発見され、日本でもすでに被害報告があるという。
一度感染すると、ExploreZipは、その後にユーザーが受け取るすべてのメールの送信者に対し、“zipped-file.exe”を添付したメールを自動返信する。送信するメールの本文には、「I
received your E-Mail and I shall send you a reply ASAP. Till then, take a look at the
attached zipped docs.」と書かれる。
また、ExploreZipはHDD中のファイルの拡張子を走査する。そして、拡張子がdoc(Wordファイル)、xls(Excelファイル)、ppt(PowerPointファイル)のもの、またはプログラムのソースファイルなどを発見すると、ランダムに対象を選び、これを破壊する。破壊されたファイルはファイルサイズが0となり、復旧不可能となる。感染したマシンのOSがWindows
95/98の場合はwin.iniファイルを、Windows NTの場合はレジストリを書き換える。
なお、ExploreZipによるファイル破壊の対象は、感染したマシンのローカルHDDだけでなく、ネットワーク接続で共有されているすべてのファイルが対象となる。書き込みアクセス権があるネットワークドライブの中に“win.ini”ファイルがある場合はそれを書き換えて、自分自身をリモートインストールする。対象のマシンは、次回再起動時にExploreZipに感染する。
ExploreZipは、『Microsoft Outlook』を操作することでメールの自動送信を行なう。したがって、Outlookをインストールしていない場合、ExploreZipは正常に動作しない。また、Outlookのユーザーかどうかに関わらず、ユーザーが添付の“explore.exe”を実行しなければ、感染しない。
ExploreZipに対する、各社の対応状況
ウイルス対策ソフトをリリースしているベンダー各社は、ExploreZipの対策をそれぞれ発表している。トレンドマイクロ(株)は、同社のウェブサイトにて『パターンファイル543』を配布。同社のウイルス対策ソフトにこのパターンファイルを適用することで、ExploreZipの検出が可能になる。また、ExploreZipを手動で削除する方法についての情報を、同社のウェブページに掲載している。
ネットワークアソシエイツ(株)では、同社のウェブサイトにてウイルス対策ソフト『VirusScan』および『NetShield』用の最新DATファイルを提供。これを使うことで、ExploreZipの検出が可能になる。ExploreZipを手動で削除する方法を同社のウェブページに掲載。
(株)シマンテックは、同社が運営するウェブサイト“SARC”において、感染を検出するソフト『KILL_EZ.EXE』を無償提供。ユーザーはKILL_EZ.EXEを実行することで、感染の有無をチェックできる。感染が判明した場合は、KILL_EZ.EXEが自動的にExploreZipを削除する。また、同社のウイルス対策ソフト『Norton AntiVirus』ユーザーを対象に、ExploreZipに対応した定義ファイルを無料で提供する。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
