このワーム型ウイルスは各社名称が異なり、「Nyxem-E (F-Secure)」「Blackmal (Symantec)」「Grew.A (TrendMicro)」「MyWife.d (McAfee)」「Blackworm」等と呼ばれています。相変わらず判りづらいですね。。。
- おとりは「カーマスートラ」--時限式ワーム「Nyxem-E」がまん延 (CNET Japan)
- 「Nyxem」ウイルスが感染を拡大,毎月3日にファイルを破壊する (IT Pro)
- WordやPDF文書を破壊する新ワーム――危険日は2月3日 (ITmedia)
- Windows HotFix Briefings(2006年1月27日版) (@IT)
- 時限式ワーム「Nyxem-E」、セキュリティ企業が2次的被害を警告 (CNET Japan)
- 『BlackWorm』によるファイル破壊に、セキュリティ各社が警鐘 (Japan.Internet.com)
- 2月3日にPC内のファイルを破壊するウイルス「BlackWorm」が拡大〜SANS警告 (INTERNET Watch)
感染方法は、メールの添付ファイルと共有フォルダに直接ファイルの設置。大半は画像ファイルを偽装した物みたいですが思いこみは禁物ですね。メールの件名や内容は不定ですが、アダルト系が中心で古代サンスクリットの書物「カーマスートラ」に言及している物もあるそうです。
発症タイミングは、毎月3日(PC内の時計?)
症状は、ファイルの破壊、レジストリ改竄によるセキュリティソフトの起動停止、PC内の電子メールアドレス宛に複製したワーム型ウイルスを送信、感染した事を外部に送信。
ファイルのデータを文字列で上書きするため復旧はほぼ不可能です。
対象となるファイルは、拡張子が「doc,xls,mdb,mde,ppt,pps,zip,rar,pdf,psd,dmp」(IT Proより)
Microsoft Officeファイル:doc,xls,mdb,mde,ppt,pps
圧縮ファイル:zip,rar
PDFファイル:pdf
画像ファイル:psd(Photoshop),dmp
対処方法は、最新のウイルス定義で対応済みのため、ウイルス定義の更新とそれによるPC内のチェック。当然ながら、安易にメールの添付は開かない事と、知らないサイトへのURLをクリックしない事、です。
メール添付してあるワーム型ウイルスであり、内容がアダルト系を思わせる内容ですので、スケベ心を出さなければ大丈夫です(笑)
・・・なんていう甘い考えは辞めましょう。
今の時点ではそうかも知れませんが、亜種(新種。改造して新しい物を作る)がそうとは限りません。Microsoft からのセキュリティ情報メールを偽装して来る可能性だってありえると思って下さい。
症状の外部へ感染したことを送信するですが、どこまでの情報が送信されるかはわかりませんでしたが、あるサイトにこのワームに感染したPCの台数を表示するカウンタがあるそうで、数字の真偽は別としてそれによると、1月24日で63万台の感染数となっています。
このワーム型ウイルスが怖いのは、データを全て「DATA Error [47 0F 94 93 F4 K5]」で上書きすることです。特殊なソフトでも正常に復旧することは難しいレベルとなり、一般人には手が出せそうにありません。
もう一つ怖いのが、ウイルス対策ソフトなどを停止する機能です。このウイルス以外にもいつの間にか感染している可能性があります。「ウイルス定義は自動更新しているから大丈夫」というのは、残念ながら今では少々危ない考えです。たまにはウイルス定義をみて、最新になっていそうか確かめるクセを付けましょう!
【私の記事】
毎月3日のNyxem-Eの被害台数は (06/02/08):後日談です
----------------------------------------------------------------------
ハンドルネーム:あまてらす
電子メール:amaterasu@job.email.ne.jp
とりあえず、帰ってきてすぐにWinフォルダを中心にスキャンを開始しました。もちろん、大丈夫でした。
99.9%、感染していないと思いますけど、0.1%は可能性あるかも・・・その怖い可能性を考えてスキャンは大事ですね!