おまけその2.年末大流行の[Badtrans]も検証してみよう]

 一連の[Nimda]騒動が覚めやらぬ11月末。レポートまとめ終わってくつろいでいると、ウチの女房が

「な~、何か変なメール来てんやけど」

 

・・・なんですと?

モノを見てみると、

・・・これ以上ないくらいあやしい(^^;)

 女房のパソコンにはウィルスチェッカーは入れてあるけど[InternetExplorer]の修正は行っていない。しかも既に開封されている・・・「こいつはいかん」と直ちにメールアドレスに登録されている人にお詫び&警告のメールを送付してから、最新のパターンをダウンロードしてみると、

・・・ちょっと更新さぼっただけで新しいのに感染するとは(-_-;)・・・

『せっかくだから』ウィルスメールをげっちゅ~して検証しようとしたら

こっちにも来てる・・・(^^;)

 という訳で、『せっかくだから』このウィルスについても検証してみました。

 [W32.Badtrans.B@mm]

・ファイルサイズ:41,358 Bytes(実行ファイルのサイズは29,020 Bytes)

・感染方法:発信されたウィルスメールの添付ファイルを開く
 (セキュリティーホール未対応の場合はファイルを選択しただけで感染する)

・症状:
 Outlook(Express)メーラーの時、存在するアドレスに対して感染ファイルを送信する
 操作ログを作成し、パスワード等の情報を外部に送信する

(「Badtransワームに関する情報」等を参考。詳細はhttp://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b%40mm.html)

 

※ワードパッドで開いた感染メールの中身(一部編集済)

 [Nimda]と違い、ネットワーク等で増殖はしませんが、「トロイの木馬」型なので常駐して感染したパソコンの操作ログを外部に流出させるので、かなりタチ悪いです。(おかげて怖くて感染実験が充分行えなかった(^^;))

※「トロイの木馬」型な証拠

「感染すると何が起きるか」

・起動時の設定が変更される

 ウィルスに感染する事により、[C:\Windows\System]に[kernel32.exe]が作成され、またログ作成コードを含む[kdll.dll]も作成されます。そして、

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]に起動時にウィルスが立ち上がる様命令が追加されます。

・特定のウィンドゥが開くとキー操作ログを作成し、外部に発信する

 ウィンドウタイトルの先頭3文字が[LOG][PAS][REM][CON][TER][NET]のいずれかに該当するウィンドウが開いていると、それ以降の操作をログとして作成し、外部に発信します。(パスワード等が流出する危険がある)

 感染実験は行いましたが、さすがに個人情報が流出する危険があったため、「繋ぎっ放しでのウィルスメールの発信」は怖くて試せませんでした。

 [Nimda]騒ぎのおかげで、多少なりとも自衛手段としてウィルスチェッカー導入していましたが、ちょっとパターン更新さぼっただけで感染するとは怖い世の中になったものです。個人レベルでのセキュリティーももう少しキチンと考えなければいけませんね。