ウイルス解説
基本用語
ウィルスとは
ファイルやデータに侵入して増殖するプログラム。増殖するだけの物と悪事を働く物がある。
ワームとは
ファイル転送の技術を使って増殖するプログラム。
これも増殖するだけの物と悪事を働く物があるが、一般的には悪事を働く。
トロイの木馬とは
PCに侵入した後、外部からの悪事を手助けするために働くプログラム。自己増殖能力は無い。
「バックドア」と呼ばれる「不正侵入の手助け」をするものが多いようです。
スパイウェアとは
主に無料ソフトや画像データに仕込まれていますが、ネットサーフィン中に感染したりもします。
利用サイトの嗜好等を元に広告表示するような軽度のものから、パスワード等の重要情報を盗み、ネット経由で特定のサイトにデータを送信する悪質な物まで有ります。
危険度
レベル1からレベル4まで有り、もっとも危険な物がレベル4です。
危険度は感染力、被害度、被害状況から判断されます。
代表的なウイルス
山田オルタナティブ(Backdoor.nodelm TROJ_AGENT.AZW) 危険度 低
-
危険度「低」となっているが、注意していないと非常に感染しやすくダメージも大きい。
-
自衛隊や警察をはじめとする各種情報漏えいで猛威を振るっている山田ウイルスの改良版。
-
Winnyユーザー以外にも感染するのが新機能となっている。
特徴
感染PCをWEBサーバー化し、ハードディスクの中身をネット上に公開します。
感染方法
- Winny経由
- メールの添付ファイル実行
- WEBサイトのファイルダウンロード実行
W32.Sasser.B.Worm(サザーワームB) 危険度 4
特徴
- windowsのフォルダに「avserve2.exe」というファイル(ウィルス本体)を作成します。
- PCのシャットダウンや再起動を妨害します。
- PCのレスポンスが悪くなります。
- 自ら感染可能なPCを探し、感染を広めます。
感染方法
- IPアドレスをランダムに作成し、そのIPのTCPポート445上に接続しようとします。
- 接続された場合、ワームは接続先のコンピュータに対し、TCP ポート 9996 にコントロール用のコードを送信します。
- 次に、そのコードを利用して相手コンピュータからポート5554に逆接続させ、ワームのコピーを受信させます。
予防
- ウィルス対策用のソフトを入れておく。
- Windowsを最新の状態にアップデートしておく。
- FTPクライアント、telnet、Webサーバー等の機能は可能な限り削除しておく。
W32.Netsky.B@mm(ネットスカイ) 危険度 4
特徴
- メールの件名も本文も英文で不定、添付ファイルの拡張子がbat cmd exe pif scr zip等になっています。
- 大量にメールを送信します。
- ウイルスが実行されると、「The file could not be opened!」というメッセージが表示されます。
予防
- 怪しいメールは開かない
- ウィルス対策用のソフトを入れておく
- Windowsを最新の状態にアップデートしておく
W32.Novarg.A@mm(ノバーグA) 危険度 4
特徴
- メールの件名は英文で不定、添付ファイルの拡張子がbat cmd exe pif scr zip になっています。
- 感染したPCは外部から簡単に進入できるようになり、データが容易に盗まれてしまいます。
- また、それだけでなくハッカーがそのPCを悪用し、他のネットワークへの不正アクセスのための窓口として使用できるようになります。
予防
- 怪しいメールは開かない
- ウィルス対策用のソフトを入れておく
W32.Beagle.A@mm(ビーグルA) 危険度3
特徴
- Windowsのセキュリティーホールを悪用して広がるワームで、大量にメールを送信します。
- メールの件名は「Hi」、本文が「Test =)」で始まり「Test, yep.」で終りっています。
- 外部からの攻撃が可能になるようPCを制御します。
- 10分毎に感染PCのアドレスを発信します。
予防
- 「Hi」の件名のメールは開かない。
- Windowsを最新の状態にアップデートしておく。
W32.Swen.A@mm(スウェンA) 危険度3
特徴
- Windowsのセキュリティーホールを悪用して広がるワームで、 メールを閲覧するだけで、感染発病します。
- マイクロソフトからの重要なお知らせ("Microsoft Internet Update Pack")を偽装し、添付ファイルを実行するように指示するメッセージが含まれている場合があります。
- 偽のエラーメッセージ「MAPI32 Exception」を表示し、ネット接続のユーザ名・パスワード・サーバー名等を入力させようとします。
- 差出人を偽り、メール送信エラーの通知メールを送信する事が有りますが、このメールの添付ファイルはワームです。
- 大量メール送信を行います。
- ファイル共有ネットワークやネットワーク共有を利用して繁殖しようとします。
- セキュリティソフトを停止し、動作させなくします。
- レジストリエディタが使えなくなります。
予防
- "Microsoft Internet Update Pack"の名称のファイルは開かない。
- メーラーのプリビューはOFFにしておく。
- Windowsと、ウィルス対策ソフトのデータを最新の状態にアップデートしておく。
W32.Blaster.Worm、WORM_MSBLAST.A 危険度4
特徴
- Windowsのセキュリティーホールを悪用して広がるワームです。
- ネットを介して感染可能なPCを検索し、発見したらmsblast.exeというファイルを、「system32」フォルダにダウンロードし実行しようとします。
- 感染してしまうと、ネットを使い次の感染可能PCを検索して被害を広げていきます。
- 感染可能なPCはWindows 2000,・Windows XPであって最新のアップデートがなされていないPCです。
予防
- Windowsを最新の状態にアップデートしておく。
- アップデートできないならファイアーウォールを使い以下へのアクセスをブロックする必要が有ります。
・TCPポート4444
・TCP ポート 135
・UDP ポート 69
W32.Frethem 危険度3
特徴
- 件名は「Re: Your password!」、添付ファイルは「Decrypt-password.exe and Password.txt」という物がメールで届きます。
- メールをプリビューで開いただけでも感染します。
- アドレス帳と.dbx、wab、mbx、eml、mdbのファイルに保存されている全アドレスにウィルスを送信します。
予防
日本語ウィルス W32.Impo.Gen@mm 危険度3
別名
Win32/Japanize.Worm、 W32.FBound@mm、W32.Dotjaypee@mm他
特徴
- メジャーなウィルスとしては初の日本語対応ウィルス
- 件名に日本語が使われているのが特徴
- 本文は無く、「patch.exe」というファイルが添付されており、これがウィルスの本体です。
- この添付ファイルを実行しなければ感染しないようですが、実行するとアウトルックのアドレス帳に登録してある全アドレスにウィルスメールを送信されます。
件名には、次の内のいずれかが使われています。
Important 重要 Re:重要 重要なお知らせ Re:重要なお知らせ 例の件 Re:例の件 お久しぶりです Re:お久しぶりです こんにちは Re:こんにちは 極秘 Re:極秘 資料 Re:資料 蛙 ウャR うんこ
予防
- 知らない人からのメールは開かない
- 特に、本文の無いメールの添付ファイルは実行しない
W32.Maldal.D@mm 危険度3
特徴
- メール機能を使い増殖するワーム。メールの添付ファイルとして届きます。
- 本体は約27KBのEXEファイルで、ファイル名は感染したPCの名前かZaCker.exeで届きます。
- メールの本文には色々な文面があるようですが、英文で添付ファイルを実行するよう書かれていたり、「ゲームです」という意味が書かれていたりするようです。
- 今のところ実行しなければ感染しないようですが、実行するとアウトルックのアドレス帳に登録してある全アドレスにウィルスメールを送信されると共に、アンチウィルスのファイルやOSのシステムファイルを徹底的に破壊してくれます。
- 感染すればPCは再フォーマットする以外に救済できません。
予防
- 英文で書かれた知らない差出人からのメールは開かない
- 添付ファイルは絶対に実行しない
「W32.Reeezak.A@mm」 危険度2
別名
W32.Maldal.C@mm、W32.Zacker.C@mm
特徴
- メール機能を使い増殖するタイプ。プリビューだけで感染するかどうかは不明です。
- 感染した場合、アドレス帳に登録してある全アドレスにウィルスメールを送信されると共に、キーボードの特定のキーを使用不能にし、「Windows System
Directory」にあるすべてのファイルを削除しようとします。
- 件名は「Happy New Year」となっているので判り易いのですが、時期によっては引っ掛かり易いので間違って開かないようにして下さい。
- また誤解防止の為、件名を「Happy New Year」にしての年賀メールは出さないようにした方が良いでしょう。
予防
- Outolookのプリビューを使わない
- 怪しいメールは開かない
- 件名が「Happy New Year」のメールは開かない
W32.Badtrans.B@mm 危険度4
特徴
メール機能を使い増殖するタイプ。削除しようとしてファイルを選択しただけでOutolookのプリビュー機能により感染します。
感染した場合、アドレス帳に登録してある全アドレスにウィルスメールを送信されます。この時、差出人名称はユーザーが通常使用している名称とアドレスが記載される場合が多いようです
。件名は空白か「Re:」又は「Re:○○○」(○○○の部分には以前に受け取ったメールの件名が入るか、文字化けしている)又は英文の件名です。
予防
Outolookのプリビューを使わないようにします。プリビューを消すには、メニューの「表示」⇒「レイアウト」に有る「プリビューウィンドーを表示する」のチェックを消して下さい。
ただし、ファイルを開いてしまうと感染します。
W32.Nimda.A@mm 危険度4
特徴
- メールを大量に送信するだけでなく、WEBサーバーへの悪事を行います 。
- 感染方法もメールだけでなく感染したWEBページから二次感染するそうです。他にも感染方法は多彩に有るらしい。
予防
- Outolookのプリビューを使わないようにします。
- ブラウザのダウンロードを無効にし、JAVAを無効にすればWEBページからの感染は防げるようです。
W32.Sircam.Worm@mm 危険度4
特徴
- これもウィルスメールを大量に送信します。しかも、そのメールは「My Documents」のフォルダに有るファイルを無差別に選択して送信しますから、どんなデータが知人に送られるか判りません
。その上、データ破壊もしますから最も恐ろしいワームです。
- メールの件名は「見て意見を聞かせて欲しい」という意味の文が英語かスペイン語で書かれています。発信者名は感染者のログオン名が使われます。
予防
- メールの件名に「見て意見を聞かせて欲しい」という意味の文が英語かスペイン語で書かれていれば開かない。
|