昨日より、ヤフーからのお知らせと偽る新種のウイルス「Myparty」の感染被害が広がっている。このウイルスはSubject: new photos from my party!Message: Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!の形で送信されており、「www.myparty.yahoo.com」という名称のファイルが添付されている。このファイルを実行するとウイルスに感染するのため、NimdaやBadTrans.Bのように、プレビューしただけで感染するということはない。しかし、.comはDOSの実行ファイル形式なのだが、.comがURLとして一般化しているため、実行型のファイルだとは気が付かずに実行してしまうユーザーが多いようだ。 感染後、このウイルスはREGCTRL.EXEというファイルをコピーし、メール送信に利用するSMTPサーバーの情報や、OutlookやWindowsのアドレス帳からメールアドレスを収集。システム日付が2002年1月25〜29日の期間のみ、それらに対して自身のコピーを送信する。 また、動作を追跡管理可能にするメッセージをワームの作成者宛てに送信し、ファイル名がaccessで何らかの拡張子が付いた名前の場合に、感染先ユーザのWebブラウザを起動してhttp://www.disney.comにアクセスするといった動作も確認されている。 現在のところ、目立った破壊活動は確認されていないが、今後似たような手口も考えられ、添付ファイルを実行させるための手段が巧妙になってきているため、十分な注意が必要である。各社の対応状況▼CERT┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━CERT Incident Note IN-2002-01W32/Myparty Malicious Codehttp://www.cert.org/incident_notes/IN-2002-01.html▼マイクロソフト┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━MYPARTY ワームに関する情報http://www.microsoft.com/japan/technet/security/virus/myparty.asp▼JCSA┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━新種ウィルス情報 W32/Myparty.A-mm(別名:WORM_MYPARTY.A)http://www.jcsa.or.jp/alert.html#0128▼トレンドマイクロ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ パターンファイル210以降で対応ウイルス詳細:http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYPARTY.Aパターンファイルダウンロードサイト:http://www.trendmicro.co.jp/support/index.htm▼シマンテック┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1月28日付け以降の定義ファイルで対応ウイルス詳細:シマンテックhttp://www.symantec.com/region/jp/sarcj/data/w/w32.myparty%40mm.html定義ファイルダウンロードサイト:http://www.symantec.co.jp/region/jp/sarcj/download.html▼日本ネットワークアソシエイツ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ DATファイル4184以降、エンジンで4.0.70以降対応ウイルス詳細:http://www.nai.com/japan/virusinfo/virM.asp?v=W32/Myparty@MMDATファイルダウンロードサイト:http://www.nai.com/japan/download/dat.asp▼日本エフ・セキュア┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1月28日のアップデートで対応ウイルス詳細:http://www.europe.f-secure.com/v-descs/myparty.shtmlパターンファイルダウンロードサイト:http://www.F-Secure.com/download-purchase/updates.shtml
