年々ウイルスによる被害が増大しています。 このページでは危険度の高いウイルスについてお知らせしています。また、ご自分だけではウイルス対策に心配な方には、パソコンレスキューがあなたの代わりに ウイルスの対策や予防を行ないます。詳しくは ウイルス駆除・予防サービスのページにてご案内しています。または080-2566-5013までお電話ください。

出張ウイルス駆除のご依頼は、080-2566-5013またはこちらまでお問い合わせください。

●最新ウィルス情報！

マイドゥーム(W32/Mydoom@MM,W32.Novarg.a,WORM_MIMAIL.R )が急激に感染を広げています。

	Mydoomメールの特徴 題名: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error 本文: Mail transaction failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. 添付ファイル名: document readme doc text file data test message body 添付ファイルの拡張子: pif scr exe cmd bat zip

Swen.A (別名Swen [F-Secure], W32/Swen@mm [McAfee], W32/Gibe-F [Sophos], Worm Swen.A, Worm.Automat.AHB ）の感染が拡大しています。

　Swenワームはメールの添付ファイルを媒体にして感染します。メールの件名、本文・差出人欄に表示されるアドレスは不定のものです。Microsoft社の「Internet Explorerの修正プログラムの案内メール」等のマイクロソフト社からの重要なお知らせを装い、ユーザに添付されているファイルを使用してシステムの更新を促すものや「qmailからの送信エラー通知メール」に偽装してユーザーの手元に届きます。
　マイクロソフト社からの重要なお知らせや更新等はメールの添付ファイルで届くことはございません。Windows等のUpdateはマイクロソフト社の公式ホームページで行い、メールなどで届く怪しい添付ファイルは開かないようにしてください。

	Swen.Aメールの特徴 添付ファイル: （以下ファイル名の後にランダムな数字が付き、ファイルの拡張子には、.exe あるいは .zip が付いています。） Patch Upgrade Update Installer Install Pack Q

　このワームに感染すると「Memory Access Violation in module kernel32 at ****：********」（*はランダンムな数字が表示されるようです）というエラーメッセージが表示されたり、起動後デスクトップまで表示されるがアイコンが全く表示されない等の報告を受けています。このような症状が出てしまった場合は是非パソコンレスキューのウイルス駆除コースをご利用ください。

感染してしまうOSはWindows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XPになります。こちらのウイルスは最新のウイルス対策ソフト（9/18以降にウイルス定義を更新したもの）を導入することで防ぐことが出来ます。現在ウイルス対策を施してないパソコンを使用されている方は是非パソコンレスキューのウイルス対策コースをご利用ください。

Sobig.Fの被害が日本でも拡大しています！

このsobig.Fは、感染したコンピューターにあるアドレス帳などにあるメールアドレス全てにメールを送信したりネットワークから感染するワームです。また、メールを送信する際にはadmin@internet.comというメールアドレスを偽証したり、感染したコンピューターの中のアドレス帳などにあるメールアドレスに偽装してメールを送信したりします。この大量にメールを送信することで世界中のネットワークに多大なダメージを与えています。また感染したコンピューターのシステム情報（パスワード）を盗みます。

	sobig.Fメールの特徴 件名: Re: Details Re: Approved Re: Re: My details Re: Thank you! Re: That movie Re: Wicked screensaver Re: Your application Thank you! Your details 本文: See the attached file for details Please see the attached file for details. 添付ファイル: your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pif

！緊急！Microsoft（マイクロソフト）社の基本ソフト（ＯＳ）ウィンドウズの欠陥を狙うコンピューターウイルス「Ｂｌａｓｔｅｒ（ブラスター）」「Lovsan（ラヴサン）」「MSBLAST（エムエスブラスト）」（いずれも同じウイルスです。）が国内でも急速に感染を広げています！！

　このBlasterはWindows 2000, Windows XP等に感染するワームで、TCPポート135を使ってDCOM RPCの脆弱性(マイクロソフト セキュリティ情報MS03-026を参照)を悪用するワームです。このワームはmsblast.exeというファイルを%WinDir%\system32 ディレクトリにダウンロードし、実行しようとします。また、Blasterは、ユーザがDCOM RPCの脆弱性を解消する修正プログラムを適用できないようにするために、windowsupdate.comに対しサービス拒否攻撃を仕掛けようとします。また現在のところ二種類の亜種の存在が確認されています。

至急マイクロソフト社から発表されている対策を実行してください。
Blaster に関する情報
また、上記リンク先の対策方法がよくお分かりにならない方は弊社（080-2566-5013またはこちら）まで至急御連絡ください。お客様のお宅にお伺いし対策を致します。（この場合トラブルシューティングコースとなります。）

Blasterの主な症状は、

1. Windows が突然再起動してしまう。（コンピューターが異常終了をしてしまう。）
2. インターネットにうまく繋がらない。
3. cmd.exeという非表示のリモートシェルを開く。
4. タスクマネージャのプロセスにmsblast.exeがある。
5. 起動時にRPCサービスに失敗しました。というエラーが表示される。
6. 8/16にwindowsupdate.comに不正アクセスをする。
7. コピー＆ペーストやドラッグ＆ドロップが出来なくなった。
8. マウスの右クリックが出来なくなった。
   

このような症状が現れた場合は、

1. 感染しているパソコンをネットワークから外す。
   （LANケーブル又は電話線をパソコンから外す。）
2. Blaster に関する情報 を感染していないパソコンから参照し、ウイルスを駆除する。
3. 最新のウイルス対策ソフトを導入する。
4. マイクロソフト セキュリティ情報MS03-026に対するパッチを当てる。
   ※ 以上の方法がよくわからない方は弊社にてウイルス駆除を致しております。

影響を受ける恐れのある製品

• Microsoft Windows NT:
  Microsoft Windows NT Server 4.0
  Microsoft Windows NT Server, Enterprise Edition 4.0
  Microsoft Windows NT Server 4.0, Terminal Server Edition
  Microsoft Windows 2000:
  Microsoft Windows 2000 Professional
  Microsoft Windows 2000 Server
  Microsoft Windows 2000 Advanced Server
  Microsoft Windows 2000 Datacenter Edition
  Microsoft Windows 2000 Powered
• Microsoft Windows XP:
  Microsoft Windows XP Home Edition
  Microsoft Windows XP Professional
  Microsoft Windows XP Tablet PC Edition
  Microsoft Windows XP Media Center Edition
  （Microsoft Windows XP Media Center Edition の日本語版は発売されていません。）
  Microsoft Windows XP 64-bit Edition
  （Microsoft Windows XP 64-bit Edition は、一般に販売されている Microsoft Windows XP とは異なる製品です。 ）
  Microsoft Windows XP Embedded
  （Microsoft Windows XP Embedded は、一般に販売されている Microsoft Windows XP とは異なる製品です。）
• Microsoft Windows Server 2003:
  Microsoft Windows Server 2003 Standard Edition
  Microsoft Windows Server 2003 Enterprise Edition
  Microsoft Windows Server 2003 Datacenter Edition
  Microsoft Windows Server 2003 Web Edition

■W32.Brid.A@mmの概要■

　W32.Brid.A@mmはW32.FunLove.4099というワームをわずかに改変したバージョンを含む大量メール送信ワームで11月4日に発見されてから急速に被害が増えているワーム（ウイルス）です。

　このワームは、「W32.Brid.A@mm」 という呼び名の他に、PE_BRID.A [Trend], W32/Braid@mm [McAfee], W32/Braid-A [Sophos], Win32.Braid.A [CA], I-Worm.Bridex [AVP] 等とも呼ばれています。（BridまたはBraidの読み方はブライド）

　このワームに感染すると、「Outlook」のアドレス帳に登録された全員のメールアドレスや「.htm」、「.dbx」ファイルで発見した全てのメールアドレスに自分自身を添付して大量にメールを送信することの他に感染先システムに幾つかのファイルを挿入しようとしたり、レジストリを改変しようとします。このワームは独自のSMTPエンジンを持っていて、メールサーバーのアドレスを取得して直接メールサーバーに接続しようとします。
　このウイルスに感染するOSは、Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Meです。Windows 3.x, Macintosh, Unix, Linux等のOSには感染しませんが、これらのウイルス付きのメールが来ても、感染を広げないためにも他の人に転送しないように注意してください。

送信されるメールには次の特徴があります。

	W32.Brid.A@mmメールの特徴 差出人: [Windows 登録ユーザ名] 件名: [Windowsに登録されている会社名] 本文: Product Name: [Windows バージョン] Product ID: [Windows ID] Product Key: [キー] Process List: [プロセスのリスト] 上記の角括弧内［］には、感染したコンピュータから収集された情報が表示されます。また、このメールにはワームファイルが添付されています。 添付ファイル: Readme.exe 添付ファイルのサイズ: 114,687 バイト

　このワームはマイクロソフト社の「InternetExplorer」の既知の脆弱性を利用しているため、セキュリティパッチが適用されていない状態でワームのメールを開くと添付ファイル（ワーム自身）が自動的に実行されてしまいます。 上記のようなメールが届いた場合は、メールを開いたり、プレビューしないようにしてください。

このワームが利用する脆弱性についての詳細は、マイクロソフト社のセキュリティ情報をご覧ください。
http://www.microsoft.com/JAPAN/technet/security/bulletin/ms01-020.asp

このW32.Brid.A@mmに感染すると次のような症状があらわれる場合があります。

1. コンピュータの速度が低下し、時々応答しなくなる。
2. コンピュータが異常修了したり、コマンドに一切応答しなくなる

■W32.Brid.B@mmの概要■

　W32.Brid.B@mmはW32.Brid.A@mmの亜種です。このW32.Brid.B@mmに感染すると独自のSMTPエンジンを使い、「.htm」と「.dbx」ファイルで発見したメールアドレスに自分自身を添付して大量にメールを送信します。また、この亜種は様々なウイルス対策プログラムやセキュリティプログラムの動作を停止させようとします。
　W32.Brid.A@MMとは異なり、W32.Brid.B@mmは感染先コンピュータにW32.Funlove.4099またはW32.Funlove.intをコピーしません。また、別の呼び名としてW32/Braid.b@MM [McAfee] があります。
　 このウイルスに感染するOSは、Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Meです。Macintosh, OS/2, Unix, Linux 等のOSには感染しませんが、これらのウイルス付きのメールが来ても、感染を広げないためにも他の人に転送しないように注意してください。

送信されるメールには次の特徴があります。

	W32.Brid.B@mmメールの特徴 件名: [Windowsに登録されている会社名] 本文: Hello, My name is donkey-virus. I wish you a merry Christmas and happy new year. Thank you. 添付ファイル: Readme.exe 添付ファイルのサイズ: 90,111バイト 　上記の角括弧内［］には、感染したコンピュータから収集された情報が表示されます。また、このメールにはワームファイルが添付されています。尚、差出人については、正体を隠すために差出人のアドレスを偽造しています。

このW32.Brid.B@mmに感染すると次のような症状があらわれる場合があります。

1. W32.Brid.B@mmが実行されると次の画像が表示されます。
   
2. Windowsのデスクトップに次のファイルを作成されます。
   ・Madam.eml
   ・Madam.exe (W32.Brid.B@mmのコピー)
3. W32.Brid.B@mmはバグも含んでいるため、メール送信終了後、ランタイムエラーが発生する。

　2002年10月3日に株式会社シマンテック社では、被害報告が急増している1種類のワームを警告しています。
“W32.Bugbear@mm”の危険度を４に設定。
http://www.symantec.com/region/jp/sarcj/index.html

■W32.Bugbear@mmの概要■
　W32.Bugbear@mmは大量メール送信ワームです。このワームはネットワークの共有を使って、感染を広げる能力を持っています。また、キーストロークのログ生成機能やバックドア機能も持っています。このワームは様々なアンチウイルスソフトやファイアウォールプログラムのプロセスなどを停止させようとします。
このワームはMicrosoft Visual C/C++ 6プログラム言語で書かれており、UPX v0.76.1-1.22で圧縮されています。
　このワームは、他にW32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], in32.Bugbear [CA],W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]とも呼ばれています。
　このウイルスに感染するOSは、Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Meです。また、Macintosh, Unix, Linux等のOSは感染しませんが、これらのウイルス付きのメールが来ても、感染を広げないためにも他の人に転送しないように注意してください。

このウイルスの具体的な症状として、

1.大量にメールを送信をする。
　ワームが作成するメールは、脆弱なシステム上で添付ファイルが自動的に実行されるようにするために「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」という脆弱性を利用してもしなくても作成されます。この脆弱性についての詳しい情報と対策は次のページをご覧ください。
http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-020.asp

2.アンチウイルスソフトやファイアーウォールプログラムなどのインターネットセキュリティーソフトを停止させ、不正侵入を許してしまうようになる。
　オペレーティングシステムがWindows 95/98/Meの場合、ワームはローカルコンピュータ上にキャッシュされているパスワード情報を入手しようとします。この情報には、キャッシュされているパスワードにはモデムおよびダイアルアップ接続パスワード、 URL パスワード、共有パスワードなどがあります。

3.感染しているパソコンとネットワークが繋がっている全てのパソコンに感染しようとする。
　これによって、共有しているプリンターが正常に動作しなくなり、無意味なデータを印刷しだしたりすることもあるようです。

このページの最初に戻る

　2002年10月1日に株式会社シマンテック社では、被害報告が急増している1種類のワームを警告しています。
“W32.Opaserv.Worm”の危険度を3に設定。
http://www.symantec.com/region/jp/sarcj/index.html

■W32.Opaserv.Wormの概要■
　W32.Opaserv.Wormはオープンなネットワーク共有を介して感染を拡大するネットワーク認識型ワームです。このワームは自分自身をリモートマシン上にScrsvr.exeファイルとしてコピーします。また、このワームはwww.opasoft.comからアップデートをダウンロードして自分自身のデータを更新しようとします。ただし、このサイトが既に閉鎖されている可能性があります。

このワームに感染していると、次のような徴候が見られます。

1. Cドライブのルートディレクトリにscrsin.datおよびscrsout.datファイルが存在する場合、ローカルコンピューターに感染・実行しています。
2. Cドライブのルートディレクトリにtmp.iniファイルが存在する場合、リモートホストからの感染を示します。
3. HKLM\Software\Microsoft\Windows\Current Version\Runレジストリキーに、ScrSvrまたはScrSvrOldという値が含まれ、その値にc:\tmp.iniに設定されています。

ハードディスクのブートセクタが上書きされ、起動中に以下のメッセージが表示されるようになります：

NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact information
on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.

このメッセージが表示された場合、データが上書きされることがありますので、至急ご連絡ください。

　このワームは、他にW32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA],WORM_OPASOFT.A [Trend] とも呼ばれています。
　このウイルスに感染するOSは、Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Meです。また、Windows 3.x, Microsoft IIS,Macintosh, Unix, Linux等のOSは感染しません。

このページの最初に戻る

2002年7月15日株式会社シマンテック、被害報告が急増している1種類のワームを警告しています。
“W32.Frethem.K@mm”の危険度を３に設定。
http://www.symantec.com/region/jp/sarcj/index.html

■W32.Frethem.K@mmの概要■
W32.Frethem.K@mmは、独自のSMTPエンジンを使用してMicrosoft Windowsのアドレス帳又は.dbx、.wab、.mbx、.eml、.mdbファイルで発見したメールアドレス全員に自分自身を送りつけます。

	W32.Frethem.K@mmメールの特徴 件名:Re: Your password! 本文: ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel 添付ファイル: decrypt-password.exe, password.txt 添付ファイルのサイズ: 48,640 バイト

このワームは、電子メールで届いたときに受信者がメールを読んだりプレビューするだけでワームが自動的に実行されるように、IFRAMEの脆弱性とMIMEの脆弱性を使用します。上記のようなメールが届いた場合は、メールを開いたり、プレビューしないようにしてください。

MIME関連の脆弱性に関する情報および修正プログラムについては、次のWebページをご覧ください。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS01-020.asp

このページの最初に戻る

2002年4月26日株式会社シマンテックは、被害報告が急増しているワームを警告しています。
“W32.Klez.gen@mm ”の危険度を４に設定。
http://www.symantec.com/region/jp/sarcj/index.html

■W32.Klez.gen@mmの概要■
　W32.Klez.gen@mmは、W32.Klez.gen@mm は、Norton AntiVirusでW32.Klezのあらゆる亜種を検出するときに使用される汎用検出名です。W32.Klez.gen@mmに感染していると通知された場合、ほとんどの場合、W32.Klez.E@mm あるいはW32.Klez.H@mmに感染しています。
　また、共通する症状としては、Windowsのアドレス帳を探し、発見した全メールアドレス宛てに電子メールを送信します。このワームは電子メールの送信時、独自のSMTPエンジンを使います。この時送られるメールの件名は、添付ファイルのファイル名に基づいて決まっているため一定していません。添付ファイルのファイル名の末尾は.bat, .exe, .pif, .srcのいずれかです。そして、感染先のコンピュータ上で発見したネットワーク共有ドライブ全てに自分自身をコピーしようとします。亜種によっては、W32.Elkern.3326 /W32.Elkern.3587/ W32.Elkern.4926 のウイルスを感染先コンピュータ上に投下します。

■W32.Klez.E@mmの概要■
　W32.Klez.E@mmは W32.Klez.A@mmの亜種の一つで、大量メール送信型ワームで、自分自身をネットワーク共有にもコピーします。大量メール送信に使用されるメールの件名、本文、添付ファイル名はランダムです。このワームはファイルを上書きし、元のファイルを隠しファイルとして保存します。
　 また、W32.Elkern.3587と似た動作をするW32.ElKern.3326ウイルスを感染先コンピュータ上に作成します。さらに幾つかの有名ウイルス駆除ソフトを無効にしようとしたり、ファイルの内容をゼロで書き換えてしまう発病症状を持っています。
　そして、Windowsのアドレス帳、ICQデータベース、ローカルファイル（.htmlやテキストファイル）から探し出したメールアドレスすべてに対し、自分自身を添付した電子メールを送りつけます。このワームは独自のSMTPエンジンを使い、利用可能なSMTPサーバを推測することでメール送信を実行します。このときに使用される差出人のアドレスは、感染先コンピュータ上で発見したメールアドレスからランダムに選択されたものが使用されます。そのため、メールの受取人と差出人として使われたメールアドレスの持ち主の間にトラブルが発生しています。

■W32.Klez.H@mmの概要■
　W32.Klez.H@mmは、W32.klez.E@mmの改造バージョンで、電子メールとネットワーク共有を介して感染を拡大します。また、ファイルに増殖する能力も持っています。

このページの最初に戻る

2001年12月6日株式会社シマンテック、被害報告が急増している1種類のワームを警告しています。
“W32.Goner.A@mm”の危険度を４に設定。
http://www.symantec.com/region/jp/sarcj/index.html

株式会社シマンテックは、感染被害が拡大している1種類のワーム、「W32.Goner.A@mm」の危険度を3から4に上げて警告するとともに、駆除方法について告知しています。

■W32.Goner.A@mmの概要■
W32.Goner.A@mmはVisual Basicで書かれた大量メール送信型ワームで、既知のPEファイル*圧縮プログラムを使って圧縮されています。このワームは、Microsoft Outlookを使った電子メールだけでなく、ICQネットワークを介しても感染を拡大するおそれがあります。またIRCクライアントプログラムがインストールされている場合には、そのコンピュータをサービス拒否攻撃(DoS)の踏み台として使えるようにするmIRCスクリプトを挿入します。このワームの制御に使用されていたIRCチャンネルは現在、その活動を阻止するために閉鎖されています。さらに W32.Goner.A@mm は、実行されるとファイルコピーを行い、一般的なウイルス対策製品ならびにファイアーウォール製品のファイルを削除するようにレジストリを書き加えてしまいます。

このページの最初に戻る

2001年11月26日株式会社シマンテック、被害報告が急増している2種類のワームを警告しています。
“W32.Badtrans.B＠mm”と“W32.Aliz.Worm”の危険度を４に設定。
http://www.symantec.com/region/jp/sarcj/index.html

株式会社シマンテックは、感染被害が拡大している2種類のワーム、「W32.Badtrans.B＠mm」と「W32.Aliz.Worm」の危険度を3から4に上げて警告するとともに、駆除方法について告知しています。

■W32.Badtrans.B＠mmの概要■
W32.Badtrans.B＠mmは自分自身を添付ファイルとして電子メールで送りつけるワームで、MAPIプログラム内で発見したアドレスから電子メールを勝手に送信する。その際添付ファイル名には、数種類のファイル名のいずれかに拡張子が追加された名前が使用される。またこのワームに感染すると、キー操作のログを作成するトロイの木馬をインストールする。さらにワームは、MIMEヘッダーに関するセキュリティホールを利用して、ユーザがメールを読んだりプレビューしたりするだけで添付ファイルが自動的に実行されてしまう。

■W32.Aliz.Wormの概要■
W32.Aliz.Wormは大量にメールを送信するワームで、Windowsのアドレス帳に登録されているメールアドレスに対して自分自身を勝手に送信。またこのワームも、MIMEヘッダーに関するセキュリティホールを利用して、ユーザがメールを読んだりプレビューしたりするだけで添付ファイルが自動的に実行されてしまう。

このページの最初に戻る

2002年7月9日株式会社シマンテック、被害報告が急増している1種類のワームを警告しています。
“W32.Goner.A@mm”の危険度を３に設定。
http://www.symantec.com/region/jp/sarcj/index.html

株式会社シマンテックは、感染被害が拡大している1種類のワーム、「W32.Liac.A@mm 」の危険度を3に設定して警告するとともに、駆除方法について告知しています。

■W32.Liac.A@mm の概要■
W32.Liac.A@mm はVisual Basicで書かれた大量メール送信ワームです。このワームが実行されると、Microsoft Outlookを使ってWindows のアドレス帳(WAB)に登録されている全メールアドレスに自分自身を送りつけようとします。このワームは有名な実行ファイル圧縮プログラムで圧縮されています。ワームのサイズは圧縮時は12KB、解凍時は約40KBです。

このページの最初に戻る

●ウィルス感染チェック！

• 最近届いたメールを見たら内容が空っぽだった。
• 添付してあるファイルは、とりあえず何でも開いてみる。
• メーラーがhtmlのメールを見られる設定にしてある。
• IE5.01SP2/IE5.5SP2/IE6にしていない。
• メーラーがOutlookだ。
• ウィルス対策ソフトを使用していない。（又は古いもの・更新してないものを使用している。）
• 最近パソコンの動作が遅く感じる。
• インターネットの速度が急激に落ちたようだ。（又は急激に遅くなった気がする。）
• 最近ダウンロード（又は共有ソフトでもらった）ソフトやファイルをウイルスチェックしないで使ってしまった。
• パソコンを買った時のまま使いつづけ、インターネットやメールもしている。
• 度々エラー画面が出るようになった。（又は、謎の模様が画面に出ている。）

サービス内容はウイルス駆除・予防サービスの案内ページにどうぞ。