概要: Ansetワームは、感染したコンピュータ内のアドレス帳から任意に選択されたアドレスに電子メールを送り拡散していることが判明。ワームは、トロイの木馬をスキャンするユーティリティという題名で送られる179k又は186kの長さのメールである。題名と添付ファイルは同じであるが、メッセージは2つの種類がある。メッセージの内容は以下の通り。 添付ファイルが実行されると、ワームはウインドウズのデフォルトフォルダ内に任意に選ばれたファイル名で保存される。ウインドウズ再起動時にプログラムが作動するようにレジストリが書き加えられる。次にメールアドレスを探す為、拡張子cgi、.htm、.shtm、.phpおよび.plの付いているファイルをアウトルックのアドレス帳やその他のファイルを検索する。最後に、複数のSMTPサーバーを使い発見したすべてのアドレスにワームのコピーが送信される。 別名: W32.Anset.Worm, Antes, I-Worm.Anset, Worm/Anset, Ants, W32/Anset-A, W32/Anset-B, I-worm.Anset.a, I-worm.Anset.b情報ソース: F-Secure Corp. Oct. 25, 2001 http://www.data-fellows.com/v-descs/anset.shtmlSophos Plc. Oct. 25, 2001 http://www.sophos.co.uk/virusinfo/analyses/w32anset.htmlSymantec Corp. Oct. 25, 2001http://www.symantec.com/avcenter/venc/data/w32.anset.worm.html分析: (iDEFENSE USA) Ansetワームは非破壊であるが、繁殖とともにメールサーバーの機能を著しく低下させる恐れがある。 上記内容のメールを受け取った場合に添付ファイルを開けずに削除し、ヘルプ・デスク若しくはシステム管理者に報告する事を勧める。 検知方法: 次のサイトへアクセスを試みている兆候があればワームに感染している可能性がある: ・200.52.69.2・200.52.69.9・193.92.94.226 ・12.34.208.35・195.229.189.2・toad.com・196.40.0.82・196.40.0.90リカバリー方法: 最新のアンチウイルスソフトウェアであればAnsetワームを識別・駆除できるものが多い。手動でワームを取り除く場合は、次のキーをメモした上で、Regeditを使用してウインドウズのレジストリから次のキーを削除する: HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce また、このレジストリ・キーに書かれているファイルを検索し削除すること。 暫定処置: システム管理者は、ゲートウエイかファイアウォールでANTS3SET.exeを含んでいる電子メールをブロックすることによりワームの侵入を防止できる。 ベンダー情報: 複数のアンチウイルスのベンダーが、Ansetワームを検知・削除する定義ファイルを追加している。(詳しくはScan本誌をご覧下さい) http://www.vagabond.co.jp/vv/m-sc.htm※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです【12:54 GMT、10、25、2001】