ウイルス情報　｜　製品紹介　｜無料ダウンロード　｜　セキュリティBOX　｜　サポート情報

W32/Badtrans@MM （バッドトランス） 種別 ： インターネットワーム 危険度 ： 中 主な発病 ： 大量メール送信/重要情報の漏洩 発見日時 ： 2001年4月11日 McAfee.comウイルススキャンオンラインで検出・駆除可能 （ファイルバージョン：4134のウイルス定義ファイルで対応済み） Badtransウイルスとは？ Badtransウイルスは、自身のコピーをメールに添付し感染を広げます。それと共に、トロイの木馬と呼ばれる、パソコンにリモートアクセスするためのハッキングツールをインストールします。このプログラムにより、ハッカーにキー入力を読み取られ、自由にパソコンに侵入される可能性があります。 また、Microsoft Internet Explorerのセキュリティーホールを利用し、メールをプレビューしただけでも感染する恐れがあります。最新のアップデートを行っていない場合には、速やかにアップデートを行ってください。 感染した場合の症状 ■ パソコン内のEメールアドレスにウイルスメールを勝手に送信します。 ■ カード番号やパスワードといった重要情報が盗まれる（ハッキングされる）可能性があります。 対処方法 McAfee.comウイルススキャンオンラインでは、すでにこのウイルスに対応済みです。ファイルバージョン：4134以上のウイルス定義ファイルに更新されていることを確認してください。 また、Microsoft Internet Explorerのセキュリティーホールを修正するための修正プログラムも同時にご利用ください。 以下のマイクロソフト社のサイトで手に入れることができます。 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms01-020.asp ■ ウイルス対策ソフト未導入の場合 　 作業をはじめる前に、上記リンクより、修正プログラムをインストールしてください。 ＜WINDOWS 95/98/MEの場合＞ _セーフモードでWindowsを再起動します。デスクトップの四隅にＳａｆｅ　Ｍｏｄｅと表示されるので、セーフモードにあるとわかります。 _スタートメニューから「ファイル名を指定して実行」をクリックして、%WINDIR% と打ち込みENTERキーを押します。 _INETD.EXE というファイルを消去します(もしあった場合)。 _スタートメニューから「ファイル名を指定して実行」をクリックして、%WINDIR%SYSTEM と打ち込みENTERキーを押します。 _次のファイルを消去します（もし存在する場合）。 KERN32.EXE KERNEL32.EXE KDLL.DLL HKSDLL.DLL _スタートメニューから「ファイル名を指定して実行」をクリックして、REGEDIT と打ち込み ENTERキーを押します。 _HKEY_LOCAL_MACHINE の隣にある(＋)をクリックします。 _SOFTWARE の隣にある(+)をクリックします。 _MICROSOFT の隣にある(+)をクリックします。 _WINDOWSの隣にある(+)をクリックします。 _CURRENTVERSION の隣にある(+)をクリックします。 _RUNONCE をクリックします。 _右のKERNEL32をクリックして、キーボードのDELETEキーを押します。 _コンピューターを再起動します。 ＜WINDOWS NT/2000/XPの場合＞ _CTRL-ALT-DELを同時に押します。 _タスクマネージャーを選択し、それからプロセスタブを選びます。 _KERNEL32.EXEプロセスをクリックし、プロセスの終了を選択します。 _スタートメニューから「ファイル名を指定して実行」をクリックして、%WINDIR% と打ち込み、ENTERキーを押します。 _INETD.EXE というファイルを消去します（もしあった場合）。 _スタートメニューから「ファイル名を指定して実行」をクリックし、%WINDIR%SYSTEM32と打ち込みENTERキーを押します。 _次のファイルを消去します（もしあった場合）。 KERN32.EXE KERNEL32.EXE KDLL.DLL HKSDLL.DLL _スタートメニューから「ファイル名を指定して実行」をクリックして、REGEDIT と打ち込んでENTERキーを押します。 _HKEY_CURRENT_USERの隣にある(+)をクリックします。 _SOFTWARE の隣にある(+)をクリックします。 _MICROSOFT の隣にある(+)をクリックします。 _WINDOWS NT の隣にある(+)をクリックします。 _WINDOWS の隣にある(+)をクリックします。 _もしINETD.EXE というファイルが右のパネルにあったら、右のRUNをダブルクリックして INETD.EXEの文字列を消去します。 *Windows ME についての追加情報 注: Windows ME は選択されたファイルをC:_保存フォルダに自動的にバックアップを取る機能があります。 そのため感染したファイルがバックアップファイルとして保存され、ウイルス対策ソフトがそのファイルを消去できない可能性があります。 以下の方法はC:_から感染したファイルを消去する方法です。 保存機能の無効化 1. デスクトップ上のマイコンピュータのアイコンを右クリックし、プロパティを選択します。 2. パフォーマンスタブをクリックします。 3. ファイルシステムシステムボタンをクリックします。 4. トラブルシューティングタブをクリックします。 5. [システムを復元しない]の隣にチェックを入れます。 6. 適用ボタンをクリックします。 7. キャンセルボタンをクリックします。 8. キャンセルボタンをもう一度クリックします。 9. コンピュータを再起動するか聞かれるので、はいをクリックします。 注: 保存機能はこれで無効になります。 10. コンピューターをセーフモードで再起動します。 11. ウイルス対策ソフトで検索を実行して感染したファイルを消去するか、 C:_Restore folder内を検索して感染したファイルを消去します。 12. 感染したファイルを除去した後で、通常どおりにコンピューターを再起動します。 注: 保存機能をまた有効にするには、手順の1-9 をおこない、5 でつけた[システムを復元しない]の隣のチェックをなくしてください。感染したファイルは除去されたまま、保存機能はふたたびアクティブになります。 ウイルス詳細情報 ■ Badtransウイルスには、aタイプとbタイプの2種類が存在します。 　 〔aタイプの詳細〕 このメール大量送信型ウイルスは、Microsoft Outlookを使用して未開封の電子メールに返信することによって、自身を配信しようとします。また、このウイルスはリモートアクセスのトロイの木馬を落とし込みます。（定義ファイル4134を使用した場合、このトロイの木馬はBackdoor-NK.svrとして検出されます。ただし、DAT4134以前の定義ファイルでは、ヒューリスティック方式でNew Backdoorとして検出されます）。 このウイルスが起動すると、"Install error"（インストール エラー）というタイトルのメッセージ ボックスが現れ、"File data corrupt: probably due to a bad data transmission or bad disk access."（ファイルデータの破損：データ転送またはディスクアクセスに失敗したと思われます）と表示されます。さらにウイルスのコピーがWINDOWSディレクトリにINETD.EXEとして保存され、起動時に INETD.EXEが実行されるように、WIN.INIファイルにエントリーが挿入されます。KERN32.EXE（バックドアを開けるトロイの木馬）およびHKSDLL.DLL（キーボード打鍵記録DLL：PWS-AVとして検出されます）が、WINDOWS SYSTEMのディレクトリに書き込まれ、システムの起動時にトロイの木馬が読み込まれるように、次のレジストリ エントリが作成されます。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOncekernel32=kern32.exe 注：Win NT/2000では、エントリはWIN.INIではなくレジストリに書き込まれます。 HKEY_CURRENT_USERSoftwareMicrosoftWindows NT CurrentVersionWindowsRUN=%WinDir%INETD.EXE このトロイの木馬は、起動すると、感染システムのIPアドレス情報を作者に送ります。作者がこの情報を入手すると、インターネットを介して感染システムに接続し、ユーザ名やパスワードなどの個人情報を詐取する恐れがあります。また、このトロイの木馬には、キーロガープログラムが含まれており、これによってクレジット カードや銀行口座などの番号やパスワードといった重要情報を取得されるおそれがあります。 次にWindowsが起動すると、このウイルスはMicrosoft Outlookフォルダにある未開封のメッセージ に返信することによって、自身を配信しようとします。このウイルスは、以下のファイル名のいずれかを使用して、メッセージに添付されます。（これらのファイル名のなかには、W95/MTX.gen@Mなどの脅威と関連しているものがあります。） Card.pif docs.scr fun.pif hamster.ZIP.scr Humor.TXT.pif images.pif New_Napster_Site.DOC.scr news_doc.scr Me_nude.AVI.pif Pics.ZIP.scr README.TXT.pif s3msong.MP3.pif searchURL.scr SETUP.pif Sorry_about_yesterday.DOC.pif YOU_are_FAT!.TXT.pif メッセージの本文には、以下の文字が含まれることがあります。 Take a look to the attachment. 〔bタイプの詳細〕 このメール大量送信型ウイルスは、Microsoft Outlookを使用して未読および既読の電子メールに返信することによって、自身を配信しようとします。また、感染したシステム上で発見された電子メールアドレスに自身を送信することもあります。このウイルスはKDLL.DLLであるシステムディレクトリにキーロギングのトロイの木馬を落とし込みます。（定義ファイル4173以降を使用した場合、このトロイの木馬はPWS-Ｈｏｏｋｅｒとして検出されます。）このトロイの木馬は、個人情報（クレジットカードや銀行口座番号、暗証番号）を盗むことを目的としてキーストロークに接続します。この情報はのちにウイルスの作者に電子メールで送られます。 起動すると、このウイルスはWINDOWS SYSTEMディレクトリにKERNEL32.EXEとして自身をコピーし、起動時に自身を実行するための次のようなレジストリキーを作成します。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOncekernel32=kernel32.exe このウイルスは受信した電子メールメッセージに返事を出したり、"*.asp" や "*.ht*"で見つかる電子メールアドレスに自身を送ったりします。ウイルスが自身を送信するときに使われる送信元のアドレスは次のリストのようなものです。 " Anna" "JUDY" "Rita Tulliani" "Tina" "Kelly Andersen" "Andy" "Linda" "Mon S" "Joanna" "JESSICA BENAVIDES" " Administrator" " Admin" "Support" "Monika Prado" "Mary L. Adams" さらに、このウイルスは返信アドレスを "_" (アンダーバー)を使ったものにかえることがあります。このため感染したメッセージに返信しても意図した相手に届かなくなります。 メッセージの件名は多くのばあい "Re:"です。 添付ファイル名は次のようなものです。 Card.DOC.pif docs.DOC.pif fun.MP3.pif HAMSTER.DOC.pif Humor.MP3.scr images.DOC.pif info.DOC.scr Me_nude.MP3.scr New_Napster_Site.MP3.pif news_doc.DOC.scr Pics.DOC.scr README.MP3.scr S3MSONG.DOC.scr SEARCHURL.MP3.pif SETUP.DOC.scr Sorry_about_yesterday.MP3.pif stuff.MP3.pif YOU_are_FAT!.MP3.scr またこの新しい亜種は修正プログラムを当てていないシステム上で、iフレームおよび「不適切なMIME ヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する」というセキュリティーホールを悪用します。 　 ■ 感染の特徴 　 ・「%WinDir%INETD.EXE」というファイルが存在する。 ・「%SysDir%KERN32.EXE」というファイルが存在する。 ・「%SysDir%KERNEL32.EXE」というファイルが存在する。

Copyright (C) SOURCENEXT CORPORATION All Rights Reserved.