W32/Frethem.n@MM対策,

ウイルス情報ウイルス名リスク度W32/Frethem.n@MM企業ユーザ: 低[要用心]
個人ユーザ: 低[要用心]類別ウイルス最小定義ファイル
(初っ端に検出を確認したパブジョン)4208対応定義ファイル
(現在不可欠とされるパブジョン)4238 02/07/15

駆逐補足ウイルス駆逐のヒント
アウトラインウイルスのめりはり感染症状感染手立て駆逐手立て

ウイルスのめりはり

この W32/Frethem の亜類は、低い感染率と、リスク度「中」の W32/Frethem 亜類の一つであることから、リスク度を”低 [要用心]”にしました。この W32/Frethem の亜類は、定義ファイル 4208 ~ 4211 と現在のスキャンエンジンで圧縮ファイルスキャンを有効にした時、W32/Frethem.gen@MM として検出され、定義ファイル 4212 と 4.0.70 エンジンで W32/Frethem.k@MM として検出されます。

この大量発信ウイルスは、Microsoft Outlook Express メールボックスファイル(.DBX ファイル)、Windows アドレス帳(.WAB ファイル)、.MBX、.EML、.MDB ファイルから、メールアドレスを収集し、SMTP を無くなって自分自身を発信します。発信の際のメール形式は以下のようになります。

件名Re: Your password!

本文ATTENTION!

You can access

very important

information by

this password

DO NOT SAVE

password to disk

use your mind

now press

cancel

添付ファイルDecrypt-password.exe

Password.txt

このウイルスは、Microsoft Internet Explorer(ver5.01または5.5でSP2なし)の不適切な MIME ヘッダーが元でで Internet Explorer が電坊主メールの添付ファイルを実行する (MS01-020)

の脆弱性を利用して、添付ファイルとしてついてきたウイルスを自動的に実行させることによって繁殖します。いわゆる「メールを開い無料けで感染」というコンディションになります。この時、ウイルスのEXEファイルは、自分自身を %WinDir% ディレクトリにコピーし、さらにレジストリRUNキーを作成して、Windowsが起動するたびにそのEXEファイルが実行されるようにします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Task Bar=C:\Windows\Taskbar.exe

SMTPサーバ、SMTP電坊主メールアドレス、SMTP表示名の初期値は、インターネットアカウントマネージャ(Internet Account Manager)から取得します。

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001

このウイルスは、上記の情報を自分の繁殖ルーチンを実行するために使います。

このウイルスはInternet Explorerを使用した時にさまざまなURLにアクセスしにいきます。

PASSWORD.TXT ファイルは、下記のテキストを含んでいるだけです。

Your password is W8dqwq8q918213

以下の症状が見られる時、このウイルスに感染している割合があります。

%WinDir%\Taskbar.exeファイルが存在する。

%WinDir%\Winstat.iniファイルが存在する

感染手立て

駆逐手立て■現行のエンジンとウイルス定義ファイルを使用して、検出駆逐して下さい。

Windows ME/XPでの駆逐についての補足

手動駆逐手立て

こちらをご参照くかっこ悪い。


,W32/Frethem.n@MM対策