■ InfoRyomaのコンピュータウィルス情報 9
  No.9 新種メール送信型ワーム「BAD TRANS.B」についての情報
 
  ウイルスを拡散するワーム活動やハッキングツールを埋め込むことを試みるBADTRANS ワームとは
    「BADTRANS ワーム」は、本ワームが利用する Internet Explorer の脆弱性 (不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020))は、9 月よりインターネット上で猛威を振るった Nimda ワームで使用されたものと同一のものです。

感染
ワームのプログラムが実行されるとメモリに常駐します。ワームのプロセスはサービスとして常駐するのでCtrl-Alt-Delのタスクマネージャーには表示されません。 

 そしてまず以下のファイルをWindowsのシステムディレクトリに作成します。 

 Kernel32.exe 
 cp_25389.nls 
 kdll.dll 
 上記ファイルのうち"Kernel32.exe"はワームのコピーです。すでにこのファイルが存在しシステムから使用中だったとしてもワームはプロセスを中止させ元からあるファイルを削除して新しく自身のコピーを作成します。 
 "kdll.dll"は侵入したシステム上でのキー入力を記録するためのハッキングツールプログラムです。この"kdll.dll"も「WORM_BADTRANS.B」の名称で検出されます。"kdll.dll"も実行されるとサービスとしてメモリに常駐します。また"cp_25389.nls"は"kdll.dll"が記録したキー入力の内容を暗号化して保存するためのログファイルです。 

 次にWindowsのレジストリに以下の値を追加します: 

 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 
  値:kernel32 = "kernel32.exe” 

 これによってWindows起動時にワームが自動実行されるように設定されます。以上の設定を終えるとワームは実行された自身のファイルを削除してしまいます。 
 

 このワームは大きく分けて自身を添付したメールを送信する「ワーム活動」とキー入力を記録する「ハッキング活動」の二種の不正活動を行います。 
 
 

 
  感染すると・・・
    感染とその被害の経緯は次の通りです。(現在の所)
1. ユーザがこのワームによって送付されたメールを見るとInternet Explorerのセキュリティホールのパッチが適用されていない場合、ウイルスに感染してしまいます。また、添付ファイルを実行しても感染します。
2. ワームは実行されるとWindowsのアドレス帳ファイルを検索してメールアドレスが登録されているかを調べます。アドレス帳にメールアドレスが登録されていた場合はそれを利用するメールクライアントがインストールされているものと判断し、メールユーザー名、パスワード、メールサーバーや各種SMTPの設定などメール送信に必要な情報を調べメールアドレスすべてに自身のコピーを添付したメールを送信します。
3. メール送信に必要な情報を取得できた場合、Windowsのアドレス帳ファイル内に登録されているメールアドレス、受信トレイにある未読メールの送信者のアドレスすべてに自身のコピーを添付したメールを送信します。  。
  感染しない為には
    添付ファイルを開かないでください。
マイクロソフト社のInternet Explorer(IE)を使用している場合、最新のセキュリティパッチ(IE5.01 SP2もしくはIE5.5 SP2以上)、Internet Explorer6を適用してください。
 
  詳しい情報は…
    下記ホームページをご覧になり、もっと詳しい情報をご覧下さい。
TREND MICRO社の『WORM_BADTRANS』のページ
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_BADTRANS.B
『BADTRANS ワーム』の詳細と対策が掲載されています。
SYMANTEC社のページhttp://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html
 
  もし感染したら…
    上記ホームページをご覧になり、対応を宜しくお願いいたします。
下記ページにて駆除ツールが公開されておりますので使用してみてください。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
根本的な解決・予防には専門のアンチウィルスソフトをご購入して予防していただく事をお勧めいたします。
尚、上記のTREND MICRO社のホームページにはオンライン上でウィルスチェックも出来ます。是非、一度お試しください。