新種ワーム型ウイルス「TROJ_SHOCKWAVE.A」の被害さらに拡大

　11月30日、Outlookのアドレス帳に対し自身をコピーし送信する、トロイの木馬型不正プログラム（ワーム）「TROJ_SHOCKWAVE.A」が発見された。
　このワームは、Outlookのアドレス帳の宛先全員に以下の内容のメールを送信する。

製品・サービス・業界動向業界動向

2000年12月4日（月） 12時00分

　11月30日、Outlookのアドレス帳に対し自身をコピーし送信する、トロイの木馬型不正プログラム（ワーム）「TROJ_SHOCKWAVE.A」が発見された。
　このワームは、Outlookのアドレス帳の宛先全員に以下の内容のメールを送信する。

件名："A great Shockwave flash movie"
本文："Check out his new flash movie that I download just now...It’s Great"
添付ファイル名：creative.exe

　添付ファイルを起動すると、ワームは感染マシン上のOutlookの設定を利用し、Outlookのアドレス帳の宛先全員に、自身のコピーを添付したメールを繰り返し2回送信。このメールの送信後、アドレス" z14xym432@yahoo.com"に対して以下の内容のメールを送信する。

件名："Job complete"
本文："Got yet another idiot"

次にC:ドライブのルートディレクトリとWindowsのスタートアップフォルダに自身のコピーを作成。ただし、日本語環境ではパスの相違からWindowsのスタートアップフォルダにはコピーは作成されない。
　また、以下の文字列を含む"messageforu.txt"というファイルも作成する。

"Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin"

　次にワームが起動されたカレントドライブ内の.JPG、.ZIPファイルを検索、検索されたファイルをすべてc:ドライブのルートディレクトリに移動する。この移動の際、移動されたすべてのファイルのファイル名の最後に"change atleast now to LINUX"と言う文字列を追加しリネームする。

　例："XXX.ZIP"→"XXX.ZIPchange atleast now to LINUX"

　ワームはこのファイル移動の記録を前述の"messageforu.txt"に書き込み、c:ドライブのルートディレクトリに移動したすべてのファイルについての移動前のフルパスが記録される。

▼トレンドマイクロ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　トレンドマイクロ株式会社は12月1日未明に海外より、ワームに分類されるトロイの木馬型不正プログラム「TROJ_SHOCKWAVE.A」の感染報告を受け、同ウイルスに対する警告を発令した。
　同ウイルスの活動としてはファイルを実行すると、Microsoft Outlookの全てのメールアドレスにワームプログラム自身を添付して自動送信。C：ドライブのルートディレクトリとWindowsのスタートアップフォルダに自身のコピーを作成。ローカルドライブ内の.JPG、.ZIPファイルを検索し、検索されたファイルをすべてC：ドライブのルートディレクトリに移動する。
　この活動によりルートディレクトリに多量の.JPG、.ZIPファイルが移動されるとドライブの動作に不具合が発生する。同社ではパターンファイル811以降（812以降推奨）で対応。検索エンジン5.170以上で対応するとのこと。

ウイルス情報
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_SHOCKWAVE.A
パターンファイルダウンロードサイト
http://www.trendmicro.co.jp/support/pattern/index.htm

▼エフ・セキュア対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.f-secure.com/v-descs/creative.htm（英文）

▼日本ネットワークアソシエイツ対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　日本ネットワークアソシエイツ株式会社は11月30日、インターネットワーム「W32/ProLin＠MM」を米国で発見、対応状況を発表した。
　このインターネットワームは、ローカルシステムへ自分自身を書き込み、.JPGと.ZIPファイルをローカルマシン上から検索、検出されたファイルをCドライブのルートに移動させるというもの。また「CREATIVE.EXE」ファイルを添付したMAPIメールの配信を行う。同社では、4.0.70エンジンを使用するVirusScan、WebShield、GroupShield、NetShieldとDAT 4109で対応している。

ウイルス情報
http://www.nai.com/japan/virusinfo/virPQ.asp?v=W32/ProLin@MM&a=PQ
DATファイルダウンロードサイト
http://www.nai.com/japan/download/dat4.asp#zip

▼シマンテック対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　シマンテック株式会社は11月30日、Microsoft Outlookのアドレス帳に登録されているすべてのメールアドレスに対し、自分自身を送りつけるワーム「W32.Prolin.Worm」を発見、対応状況を発表した。
　このワームは、Outlookのアドレス帳に登録されているすべてのメールアドレスに対し「CREATIVE.EXE」ファイルを添付したメールを送信する。添付ファイルを実行するとC:WINDOWSStart MenuProgramsStartupに自分自身をコピーし、起動するたびに拡張子が.zipと.jpgのファイルをCドライブのルーディレクトリに移動するというもので、同社では警告を呼びかけている。

ウイルス情報
http://www.symantec.com/region/jp/sarcj/data/w/w32.prolin.worm.html
ウイルス定義ファイルのダウンロードサイト
http://www.symantec.com/region/jp/sarcj/download.html

▼シー・エス・イー対応状況
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　株式会社シー・エス・イーは、Microsoft Outlookを利用して拡大するワーム「W32/Prolin」を発見、対応状況を発表した。
　このワームは、"A great Shockwave flash movie"という件名のE-mailで届き、添付してある「CREATIVE.EXE」を実行すると、自身を添付してOutlookアドレス帳の全登録者に向けてE-mailを送信する。その後、ワームは拡張子がMP3、JPG、ZIPのファイルを探し、それらのファイルをC:に移動さる。同社では対応するIDEファイルがWebサイトで公開されており、ダウンロードが可能となっている。

ウイルス情報
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32prolin.htm
ファイルダウンロードサイト
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32prolin.htm

《ScanNetSecurity》