クリスマスカードを装って、パスワードファイルを盗むワームが登

概要：
　2001 年のクリスマスシーズン初の悪意あるコードは大量メール送信型ワームで、パスワードファイルを盗み出し、ポーランドのメールアドレスに送信するもの。Greet997 ワームは今年のクリスマスシーズン中に生成された最初のものだが、今まで出回っていた他のワームやウイルスも、この時期また活動を開始している。現時点では、まだ Greet997 の被害はそれほど拡散してはおらず、英国のアンチウイルス会社 MessageLabs社がトラッキングしたところ、Greet997 の存在が確認されているのはポーランドだけだという。

　電子メールで配信される Greet997 は、次のような内容で表示される。

Subject：Merry Christmas!!!
メッセージ：空白
添付ファイル：greetings.txt.vbs

　添付ファイルをいったん実行すると、Greet997 は自身をWindowsディレクトリーのCursorsフォルダに同じ名前でコピーする。次に、そのコンピューターのMicrosoft Outlookアドレス帳にある全アドレスに自身を電子メールで送りつけるというもの。最後に Greet997は、全ての.pwlパスワードファイルを、ポーランドに存在していると思われるメールアドレスに送信する。

別名：
VBS/Grate-B

情報ソース：
MessageLabs Dec. 17, 2001
http://www.messagelabs.com/viruseye/threatlist.asp
Sophos Plc. Dec. 17, 2001
http://www.sophos.com/virusinfo/analyses/vbsgrateb.html

分析：
（iDEFENSE 米国）　大量メール送信型ワームは国境を越えて拡散することで知られているため、Greet997 がポーランドからヨーロッパ全体、そして米国へと拡散する可能性は高い。加えて、悪意のあるコードのうちクリスマス関連のものは珍しくないが、この時期は知人や友人からのクリスマス関連のメッセージを受け取ることを期待しているユーザーが多いため、通常よりも感染が増える傾向がある。

　iDEFENSE では、毎年出版しているiALERT ホワイトペーパーの2001 年度版、「2001 Holiday Season Cyber Threat Advisory（2001年度末サイバーセキュリティアドバイス集）」を提供している。本書では、クリスマスシーズン特有の悪意のあるコードで現在出回っているものをiDEFENSEが分析し、セキュリティの強化に役立つアドバイスを供給している。本書をダウンロードするには、次のURLをクリック：

http://www.idefense.com/holiday/Holiday2001.pdf

検知方法：
　C:WindowsCursors、またはハードディスク上の他のフォルダにgreetings.txt.vbsというファイルがあれば、感染していることを意味する。

リカバリー方法：
　greetings.txt.vbs を削除する。アドレス帳にあったメールアドレス全員に、悪意のあるコードが転送されていることを知らせる。最後に、設定されている Windows のパスワードを全て変更する。

ベンダー情報：
　Sophos Plc. 社のウイルス対策ソフトで、Greet997 の検出と防止が可能。また、最新バージョンの Microsoft Outlook は、VBSの実行を防止する可能性がある。他の幾つかのウイルス対策ソフトは、Greet 997を経験則を用いて発見する可能性がある。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【20:44 GMT、12、17、2001】