悪質な破壊活動を行う新種のマクロ型ウイルス「Resume」を発見
5月27日、先日発見された「Cybernet」や「Melissa」同様に、Outlookのアドレス帳に対し自身をコピーし送信するマクロ型ウイルス「Resume」が発見された。このウイルスは感染力が非常に高く、またWindowsのシステムファイルを削除するなど悪質な破壊活動を行う。
製品・サービス・業界動向
業界動向
送られてきたメッセージは件名が「Resume- Janet Simons」となっており、本文には、
Attached is my resume with a list of references contained
within. Please feel free to call or e-mail me if you have
any further questions regarding my experience.
I am looking forward to hearing from you.
Sincerely,
Janet Simons
(訳:履歴書とリストを添付してあります。リストは私の資格証明書リストです。私の職務経歴などに興味がありましたら、電話かメールにていつでもご連絡ください。あなたからの連絡を楽しみにしております。)
というメッセージとなっており、「Explorer.doc」というファイルが添付されており、このファイルを開くと感染する仕組みになっている。なお、このウイルスの発病タイミングがこの感染ファイルを閉じたときで、スタートメニューのスタートアップに「Explorer.doc」、"C:Data\"に"Normal.dot"として自身をコピー。その後、以下のディレクトリの中の全てのファイルを。以下の順番で消去を試みる。
C:*.*
C:My Documents*.*
C:WINDOWS*.*
C:WINDOWSSYSTEM*.*
C:WINNT*.*
C:WINNTSYSTEM32*.*
A:*.*(エラーメッセージが出ることもあり)
B:*.* (エラーメッセージが出ることもあり)
D:からZ:までのルート・ディレクトリの*.*
(注: *.*は「すべてのファイル」を表す)
これらが実行されるとシステムファイルが消去されるため、マシンが起動しなくなるので注意が必要である。
▼トレンドマイクロ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
トレンドマイクロ株式会社は5月27日、新種のマクロ型ウイルス「W97M_RESUME.A」を発見、対応状況を発表した。同ウイルスはWordを利用したマクロ型ウイルスで、現在、米国では8社からの感染報告を受けている。このウイルスもメリッサやLoveLetterのようにOutlookのアドレス帳を利用してメールを送信するため感染力が高い。また、発病するとWindows、Windows NT のシステムファイルなどを削除するという悪質な破壊活動を行うため、今後十分な警戒が必要とのこと。同社では、対応パターン715以降で対応するほか、オンラインスキャンサービス「eDoctor Web」にて検知サービスを行っている。
ウイルス情報
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=W97M%5FRESUME%2EA
アップデートモジュールダウンロードサイト
http://www.trendmicro.co.jp/homeuser/home_support.htm
eDoctor Web(ウイルス対策診断サービス)
http://inet.trendmicro.co.jp/as/login.asp
▼日本エフ・セキュア対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
日本エフ・セキュア社は5月30日、5月27日に発見された新種ワーム「Resume virus」について警告を発した。この新種の電子メール・ワームは、履歴書を装っており、組織の販売部門やマーケティング部門の役員に宛てられた電子メールの添付ファイルを通じて広がる形式を取っている。エフ・セキュア社のウイルス対策研究マネジャーは、ウイルスが広く蔓延することはなく、30日未明までに終息に向かうだろうと語っている。このウイルスは、同社サイト、からダウンロードできる最新版のアンチ・ウィルス・プログラムにて、検知、駆除が可能。
ウイルス情報
http://www.f-secure.com/v-descs/resume.htm
ダウンロードサイト
http://www.f-secure.com/download-purchase/
▼日本ネットワークアソシエイツ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
日本ネットワークアソシエイツ株式会社は5月26日、「W97M/Melissa」の亜種で、非常に危険な発病ルーチンを有しているマクロ型ウイルス「W97M/Resume.a@mm」を発見、対応状況を発表した。このウイルスは、感染ファイル添付されており、このファイルを開くとアドレス帳に記載されているアドレスににメールを送付する。また、このファイルをクローズすると、システムファイルやルートディレクトリのファイルを削除する他など凶悪な発病プロセスを持っているとし、警告を発している。現在、同社では4081以降のDATファイルで対応するほか、緊急用のExtraDATファイルの準備がされている。
ウイルス情報
http://www.nai.com/japan/virusinfo/virR.asp?v=W97M/Resume.a@mm&a=R
DATファイルダウンロードサイト
http://www.nai.com/japan/download/dat4.asp
緊急用のExtraDATファイルダウンロードサイト
http://www.nai.com/japan/virusinfo/extradat.asp
▼シマンテック対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
株式会社シマンテックは5月26日、Melissaに類似した新種のマクロウイルス「W97M.Melissa.BG(別名:W97M.Resume.A)」を発見、対応状況を発表した。このウイルスはアメリカで発見されたもので、感染しているファイルを開くと、Outlookのアドレス帳に対し、大量のメールを自動で感染したファイルを送りけ、感染ファイルを閉じた際にWindowsのシステムファイルや各ドライブのルートファイルを削除するなど感染力が高く、悪質な破壊活動を行うとして、警戒を呼びかけている。
ウイルス情報
http://www.symantec.com/region/jp/sarcj/data/w/w97mmelissabg.html
ウイルス定義ファイルのダウンロードサイト
http://www.symantec.com/region/jp/sarcj/download/download.html
▼シー・エス・イー対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
株式会社シー・エス・イーは5月26日、Outlookのアドレス帳を使い自身の
コピーを送信するマクロ型ウイルスの新種「W97M/Melissa.BG」を発見、対応状況を発表した。このウイルスは添付されている感染ファイルを開くと、Outlookのアドレス帳に記録されているすべてのアドレスに、自身のコピーを送信。その後、ファイルを閉じた際にWindowsのシステムファイルや各ドライブのルートディレクトリのファイルを削除するなど、非常に悪質な破壊活動を行うため注意が必要である。同社では対応するIDEファイルがWebサイトで公開されており、ダウンロードが可能となっている。
ウイルス情報
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/wm97resumea.htm
ideファイルダウンロードサイト
http://www.sophos.com/downloads/ide/resume-a.ide
《ScanNetSecurity》