◆概要: Susanは、EXEファイルに感染するウイルスである。Susanはサイズが66,000バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介してMicrosoft Windowsオペレーティングシステムを搭載している他のコンピューターに拡散する。 Susanが実行されると、ウイルスがWindowsディレクトリ、Program Filesディレクトリ、C:ドライブにあるEXEファイルへの感染を試みる。EXEファイルに感染すると、Susanは元のfilename2.exeとして現在のファイルのコピーを作成する。次に、ウイルスは元のEXEファイルを自己コピーで上書きし、実行時にワームとともにホストファイルを実行するようにワームを構成する。 又、Susanは、Windowsディレクトリにファイルsyst.exeとして自己コピーを作成する。さらに、Susanは、Windowsの起動時にこのファイルを実行し、感染をマークするためにWindowsレジストリを以下のように変更する。HKLMSoftwareMicrosoftWindowsCurrentVersionRunSyst=C:Windows directorysyst.exeHKCUSoftwarec1HKCUSoftwarec2HKCUSoftwaresystdisableSusanの悪意のあるプログラム部分には次のテキストが含まれている。vSusanne01b2001, Made in Slovakia別名:Susan、vSusanne01b、Win32.HLLC.Susan◆情報ソース:・HNS ( http://www.net-security.org/virus_item.php?id=4397 ) , Dec. 07, 2002◆キーワード: Virus: File infecting Worm: Script Worm: Other◆分析: (iDEFENSE 米国) Susanは、目立たないコンパニオンファイル感染型ウイルスである。◆検知方法: Susanに関連する属性を持つ疑わしいファイル及び上記のようにサイズが増えたEXEファイルを探す。Windowsディレクトリ内のファイルsyst.exe及びワームによって作成されるWindowsレジストリキーも探す。◆リカバリー方法: Susanに関連した全ファイルとWindowsのレジストリキーをすべて削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。◆暫定処置: すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。◆ベンダー情報: アンチウイルスベンダーでは、この新しい悪意のあるプログラムに対する保護を適用するアップデートされたシグネチャーファイルを近く発表する可能性が高い。また、他のアンチウイルスアプリケーションも、経験則を用いてこの悪意のあるプログラムを検知できる可能性がある。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【04:34 GMT、12、10、2002】
