Alizワームが急速に拡散中

概要：
　メッセージ研究所（MessageLabs）によれば、今月の最も脅威を与えているウイルスの5位に浮上しているAlizウォームが急激に拡散している。英国のウイルス追跡調査機関の調べによると11月20日に383件の感染が確認されたAlizは24時間後には4倍の1,511件に増大、更

国際海外情報

2001年11月27日（火） 12時00分

概要：
　メッセージ研究所（MessageLabs）によれば、今月の最も脅威を与えているウイルスの5位に浮上しているAlizウォームが急激に拡散している。英国のウイルス追跡調査機関の調べによると11月20日に383件の感染が確認されたAlizは24時間後には4倍の1,511件に増大、更にメッセージ研究所の報告によれば、23日のグリニッジ標準時間17:00には4,200件以上に被害が拡大しているとのこと。これはニムダを上回る数値である。

　Alizはウインドウズ32ビット対応においては最小容量の4Kの大きさである。(2001年11月21日 ID#106294) Alizは電子メールを使用して拡散・増殖していく。ワームは以下の様なメッセージで受信される。

件名:
　件名は以下の５つの任意な組合わせにより構成される

パート1
Fw: ,Fw: Re:

パート2:
Cool, Nice, Hot, some, Funny, weird, funky, great, Interesting, many

パート3:
website, site, pics, urls, pictures, stuff, mp3s, shit, music, info

パート4:
to check, for you, i found, to see, here, - check it

パート5:
!!, !, :-, ?!, hehe-

メッセージ:
メッセージはブランク。
添付ファイル：
Whatever.exe

Alizワームの生成する件名は以下の様な例になる

Fw: Cool pictures i found !! and
Fw: Re: Nice website to check hehe ;-)

　ワームには表示されていないMIMEがエンコードされ、添付ファイルを開封しなくても自動的に起動する仕組みになっている。ワームは先ず、レジストリを調査しアドレス帳の場所を探す、見つかると記載アドレスにワームのコピーを送付する。ワームはコンピュータ内にプログラムを書き込むということはしない。また、通常見る事が出来ないが以下の様なテキストが添付されている。

:::iworm.alizee.by.mar00n!ikx2oo1:::

while typing this text i realize this text got added on many
av description sites, because this silly worm could be easily
a hype. i wonder which av claims '[companyname] stopped
high risk worm before it could escape!' or shit like that.
heh, or they boycot my virus because of this text. well, it
is easy enough for the poor av's to add this worm; since it
was only released as source in coderz#2... btw,
loveletter*2 power in pure win32asm and only a 4k exe file.
heh, vbs kiddies, phear win32asm. :) thx to: bumblebee!29a,
asmodeus!ikx. greets to: starzer0!ikx, t-2000!ir, ultras!mtx
& sweet gigabyte... btw,burgemeester van sneek: ik zoek
nog een baantje... (alignmentfillingtext)

別名：
Win32.Aliz、W95/Aliz.a

情報ソース：
F-Secure Corp. Nov. 23, 2001
http://www.data-fellows.com/v-descs/aliz.shtml
MessageLabs Nov. 23, 2001
http://www.messagelabs.com/viruseye/threatlist.asp
Panda Software Inc. Nov. 23, 2001
http://service.pandasoftware.es/library/virusCard.jsp?Virus=W32/Aliz

分析：
　Alizワームは急速に拡散しており非破壊ではあるが、繁殖と共にメールサーバー機能の低下を招く危険がある。このワームを受け取って添付を開封、またはメールを受信し開封した恐れのある人は直ぐにヘルプデスク又はシステム管理者に連絡をすること。

　Alizは、マイクロソフトのインターネット・エクスプローラー5.01および5.5の中で既知の脆弱性を利用。インターネット・エクスプローラー6.0は感染の恐れがない。

リカバリー方法：
　最新アンチウイルスソフトはAlizワームの定義ファイルが追加されている。

ベンダー情報：
　数社のアンチウイルスソフト・ベンダーより定義ファイルが提供されている。また、マイクロソフトからはIE5.1,IE5.5の脆弱性へのパッチが下記サイトで提供されている。
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【17:21 GMT、11、23、2001】

《ScanNetSecurity》