Magistrの亜種「Magistr.B」への各社対応状況
本年3月に発生して以来、現在もなお感染を広げているウイルス「Magistr.A」の亜種である「Magistr.B」が発生し、アンチウイルスベンダやIPAが警告を発している。
脆弱性と脅威
脅威動向
このウイルスは感染後に以下の活動をおこなう。
・全てのローカルドライブ、ネットワークドライブ、共有フォルダから、「WinNT」「Windows」「Win95」「Win98」「WinME」「Win2000」「Win2K」「WinXP」というディレクトリを検索し、ディレクトリ内のPE形式のファイルへと自身のウイルスコードを追加する。
・OutlookExpress、NetscapeMessenger、Eudoraのアドレス帳に登録されているアドレス全てに対して自身のコピーを添付して送信する。その際のサブジェクトや本文はランダムな文字列。
・System.iniファイルにあるBootセクション内のExplorer.exeの内容を、PCの起動時にウイルス自身が起動するように改変する。
・拡張子が.ntzのファイルを全て削除する。
・アプリケーション、システムレベルのデバッガソフトが存在、もしくはNTICE、SICEという名前のディレクトリが存在した場合システムをハングアップさせる。
・ファイアウォールソフトである「ZoneAlarm」を強制終了させる。
・起動ドライブのルートディレクトリに「NTLDR」「WIN.COM」が存在する場合、これら2つのファイルを再起動時にハードディスク内の全てのデータが破壊されるように改変する。
アンチウイルスベンダ各社の対応を下記にまとめる。
▼トレンドマイクロ
パターンファイル934以降で対応。検出されたファイルすべてを削除。レジストリに追加された値の削除、改変されたシステムファイルの記述を修正。削除、修正の方法は以下のウイルス詳細のURLを参照。
ウイルス詳細:
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_MAGISTR.B
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/index.htm
▼シマンテック
9月4日付の定義ファイルで対応。検出されたファイル全てを削除。レジストリに追加された値の削除、改変されたシステムファイルの記述を修正。削除、修正の方法は以下のウイルス詳細のURLを参照。
ウイルス詳細:
http://www.symantec.com/region/jp/sarcj/data/w/w32.magistr.39921@mm.html
定義ファイルダウンロードサイト:
http://www.symantec.com/region/jp/sarcj/defs.download.html
▼日本ネットワークアソシエイツ
DATファイル4158、検索エンジン4.0.70以降で対応。
ウイルス詳細:
http://www.nai.com/japan/virusinfo/virM.asp?v=W32/Magistr.b@MM&a=M
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/download.asp
▼日本エフ・セキュア
ウイルス詳細:
http://www.f-secure.com/v-descs/magistr.shtml
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml
▼シー・エス・イー
最新のideファイル(magistrb.ide)で対応。なお、最新のバー所PN3.49以前では、.BATの拡張子に対応していないので検索拡張子のリストに.BATを追加するようにとのこと。
ウイルス詳細:
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32magistrb.htm
ideファイルダウンロードサイト:
http://www.cseltd.co.jp/security/sav/downloads/ide/ide.htm
《ScanNetSecurity》