【詳細情報】ウイルスがウェブベースのファイルに感染

◆概要：
　Redlof.Bは、ウェブベースのファイルに感染するファイル感染型ウイルスであり、電子メールワームとして拡散する。Redlof.Bはサイズが14,068バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有

国際海外情報

2003年1月31日（金） 12時00分

◆概要：
　Redlof.Bは、ウェブベースのファイルに感染するファイル感染型ウイルスであり、電子メールワームとして拡散する。Redlof.Bはサイズが14,068バイトで、通常、電子メール、ネットワーク、リムーバブルメディア、インターネットリレーチャットなどのファイル共有媒体を介して他のコンピューターに拡散する。

　Redlof.Bが実行されると、ローカルドライブにある.htt、.html、.htm、.vbp、.php、.jspファイルに感染を試みる。このようなファイルにそのコードを追加した後で、ウェブフォルダとしてファイルシステムをコンピューターで表示するとコードが実行される。Redlof.Bは、意図した通りに動作するためにActiveXの脆弱性を悪用する。

　Redlof.Bは、多様なファイルタイプに拡散する場合、WindowsのSystem32ディレクトリーに以下のような複数のファイルを作成する。

・Kernel.dll
・Kernel32.dll
・Setup.txe
・Inet.vxd
・Blank.htm

　次に、Windows及び.dllの起動時にこのワームを実行するように、Windowsのレジストリが以下のように変更される。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Kernel32.dll=C:Windows System Directory

HKCRdllfileshellOpenCommand
C:Windows DirectoryTEMPWScript.exe "%1" %*

　Redlof.Bは、Microsoft Outlookを使って電子メールを介して拡散する。又、HTML形式の電子メールとして拡散、すべての電子メールとともに自己コピーを送信、感染したコンピューターで常駐ファイルとして動作するように自己を構成する。

◆別名：
　Redlof.B、Redlof、VBS/Redlof.B

◆情報ソース：
・Panda Software ( http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?idvirus=38042 ) , Jan. 20, 2003

◆キーワード：
　Virus: File infecting Worm: E mail
　Worm: Other

◆分析：
　(iDEFENSE 米国) Redlof.Bの電子メールコンポーネントに関しては、現在ほとんど詳しい情報が判明していない。

◆検知方法：
　Redlof.Bに関する属性を持つ疑わしいファイル及びActiveXコードを含む電子メールを探す。WindowsディレクトリーにRedlof.Bによって作成される可能性のあるファイルを探す。

◆リカバリー方法：
　この悪意のあるプログラムに関するすべてのファイルを削除する。破壊・破損したファイルをクリーンなバックアップコピーで修復する。ローカルドライブで隠し.httファイルを含むすべてのウェブ関連ファイルがウイルスに感染していないかを丁寧に検証する。

◆暫定処置：
　すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。特に、Internet Explorer及びActiveXの脆弱性など、悪意のあるプログラムにターゲットとされる既知の脆弱性に対してすべてのソフトウェアを積極的にアップデートする。

◆ベンダー情報：
　不正プログラムに対応する最新のワクチン定義ファイルが、いくつかのアンチウイルスベンダーから発表されるか、またはアンチウイルスアプリケーションによっては、経験則的にこの不正プログラムを検知するものもあると思われる。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【19:41 GMT、01、21、2003】

《ScanNetSecurity》