Markerマクロウィルスの変種がまた発見される

◆概要：
　Markerマクロウィルスファミリーの他の変種が、また発見された。Sophos PlcによってMarker.AKと呼ばれるこの新しい変種は、オリジナルのMarkerとほとんど同じである。Sophos Plcによれば、新しい変種は悪意のあるペイロードを含んでおらず、複製する以外には特に機能は持たないという。Marker.AKは、マイクロソフトの Wordドキュメントに感染し、電子メール、ファイル共有ネットワーク、フロッピーディスク、IRC等のファイル共有メディアによって他のコンピューターに感染する。

◆別名：
　WM97/Marker-AK, Marker.AK, Marker

◆情報ソース：
・Sophos Plc.
( http://www.sophos.com/virusinfo/analyses/wm97markerak.html ), May 24, 2002 iDEFENSE Intelligence Operations, May 24, 2002

◆分析：
　(iDEFENSE 米国) Marker.Aは、ユーザアドレスとコンピューター名のログを取り続け、それをマクロコードの最終行にコメントする。また、感染が生じるごとに、この情報が更新される。Marker.CのようなMarkerファミリーのいくつかの変種は、CodeBreakersのウェブサイト(現在利用不可能)へFTPによって重要な情報を転送しようと試みる。Marker.AKは、そのような情報を転送しないようだが、前述の様に、マクロコードの末尾に重要な情報を付加する。

◆検知方法：
　マイクロソフトの Wordドキュメントに加えられた新しいマクロを検索し、前述の様に悪意のあるコードや重要なデータが含まれていないかどうかチェックする。

◆リカバリー方法：
　Marker.AKに関連した悪意のあるマクロをすべて削除して、クリーンなバックアップコピーを使い、破壊されたり損傷したファイルを復旧する。また、マイクロソフトのWordドキュメントの再感染を回避するために、normal.dotがクリーンな事を確認する。悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。

◆暫定処置：
　前述の通り、悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。また、新しいマイクロソフトの Wordドキュメント上で手動のスキャンを実行した後に、新しいファイルを開く。もしファイルが怪しい場合は、悪意のあるマクロをサポートしないノートパッド（メモ帳）で開き、テキストをチェックし、悪意のあるコードが隠されている手掛かりを調査する。

◆ベンダー情報：
　Sophos Plcのアンチウイルスソフトウェアは、現在この新しい悪意のあるコードを検出できる。また、他のアンチウイルスソフトウェアも、この悪意のあるコードを経験則を用いて検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【17:53 GMT、05、26、2002】