◆概要: Markerマクロウィルスファミリーの他の変種が、また発見された。Sophos PlcによってMarker.AKと呼ばれるこの新しい変種は、オリジナルのMarkerとほとんど同じである。Sophos Plcによれば、新しい変種は悪意のあるペイロードを含んでおらず、複製する以外には特に機能は持たないという。Marker.AKは、マイクロソフトの Wordドキュメントに感染し、電子メール、ファイル共有ネットワーク、フロッピーディスク、IRC等のファイル共有メディアによって他のコンピューターに感染する。◆別名: WM97/Marker-AK, Marker.AK, Marker◆情報ソース: ・Sophos Plc. ( http://www.sophos.com/virusinfo/analyses/wm97markerak.html ), May 24, 2002 iDEFENSE Intelligence Operations, May 24, 2002◆分析: (iDEFENSE 米国) Marker.Aは、ユーザアドレスとコンピューター名のログを取り続け、それをマクロコードの最終行にコメントする。また、感染が生じるごとに、この情報が更新される。Marker.CのようなMarkerファミリーのいくつかの変種は、CodeBreakersのウェブサイト(現在利用不可能)へFTPによって重要な情報を転送しようと試みる。Marker.AKは、そのような情報を転送しないようだが、前述の様に、マクロコードの末尾に重要な情報を付加する。◆検知方法: マイクロソフトの Wordドキュメントに加えられた新しいマクロを検索し、前述の様に悪意のあるコードや重要なデータが含まれていないかどうかチェックする。◆リカバリー方法: Marker.AKに関連した悪意のあるマクロをすべて削除して、クリーンなバックアップコピーを使い、破壊されたり損傷したファイルを復旧する。また、マイクロソフトのWordドキュメントの再感染を回避するために、normal.dotがクリーンな事を確認する。悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。◆暫定処置: 前述の通り、悪意のあるマクロの実行を防止するため、マイクロソフト Wordのセキュリティ設定を「高」にする。また、新しいマイクロソフトの Wordドキュメント上で手動のスキャンを実行した後に、新しいファイルを開く。もしファイルが怪しい場合は、悪意のあるマクロをサポートしないノートパッド(メモ帳)で開き、テキストをチェックし、悪意のあるコードが隠されている手掛かりを調査する。◆ベンダー情報: Sophos Plcのアンチウイルスソフトウェアは、現在この新しい悪意のあるコードを検出できる。また、他のアンチウイルスソフトウェアも、この悪意のあるコードを経験則を用いて検知できる可能性がある。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【17:53 GMT、05、26、2002】
