Uncesored (無検閲) ワームは、ポルノ画像を表示し、Outlookを使い拡散中
概要:
Uncensored(無検閲)という名のワームがマイクロソフト社のOutlookを媒体に広がっている。このワームは猥褻な画像を表示した後、感染していく。ワームの長さは90,112-バイトで添付の.exeファイルとして送信されてくる。この悪意のあるコードを伴って届くメールの
国際
海外情報
Uncensored(無検閲)という名のワームがマイクロソフト社のOutlookを媒体に広がっている。このワームは猥褻な画像を表示した後、感染していく。ワームの長さは90,112-バイトで添付の.exeファイルとして送信されてくる。この悪意のあるコードを伴って届くメールのメッセージは以下の通りである。
添付ファイルが開かれると、ワームは猥褻な画面を表示する。その後、自らを感染したコンピュータのOutlookのアドレス帳にあるアドレス全てに上記のメッセージをコピーする。ワームは再起動時にプログラムが走るようにウインドウズのレジストリも書き換えようとする。(しかしながら、テストでこの書き換えは成功していない)。 以下のテキストが含まれている。
別名:
I-Worm.Desor, TROJ_UNCENSORED.A, W32.Unce@mm, W32/Ducky@mm.90112, Win32.Desor, Win32.HLLW.Hoaxley, Win32/Desor worm, Win32/Unsored.A@mm
情報ソース:
Network Associates Inc./McAfee.com Oct. 18, 2001
(http://vil.nai.com/villib/dispvirus.asp?virus_k=99226 )
分析:
このワームは非破壊であるが、それが繁殖する過程でメールサーバーの負荷を増加する恐れがある。このメールを受け取った際は添付ファイルを開けずに破棄する事。感染の恐れがある場合は即座に、ヘルプ・デスク又はシステム管理者に報告する事。
検知方法:
猥褻画像が表示され、タイトルが"Uncensored"とついていれば感染した症状である。
リカバリー方法:
最新のアンチウイルスソフトウェアであればUncensoredワームは検出される。もし、レジストリなどの書き換えが起こってしまい、そのワームを手動で駆除する場合は先ずPlayjpg.exe(恐らくウインドウズフォルダー内にある)のファイルを検索し削除する。次のRegeditから次のキーを取り除く。
HKCUSOFTWAREMicrosoftWindows
CurrentVersionRun = Playjpg.exe
ベンダー情報:
ほとんどの主要なアンチウイルスのベンダーは、Uncensoredワームを検知するために定義ファイルを更新している。
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【16:46 GMT、10、19、2001】
《ScanNetSecurity》
