みなさん、こんにちは、

3,4日前から新たなウィルスが猛威を振るっています。このウィル
スのたちが悪い所はメールアドレスが記載されてしまっていて、
アドレス帳に載っている人（つまり知人友人取引先等）に送ってし
まう為に、気軽に添付ファイルを開いてしまうと言うことです。

ちなみにこのウィルスが付いてくるメールは、発信者アドレスが書
いてありますので、どこの誰が感染しているかが一目でわかります。

１．概要：
このウイルスは、Windows32ビット環境（Windows95.98.ME.NT.2000
）で動作するウイルスで、動作すると、OutlookExpressのアドレス
帳に登録されている全てのアドレス宛にウイルスを添付したメール
を送信します。
送信されるメールの内容は次のとおりです。

　・件名：以下の５つのグループからランダムに選択された文字
　　列が組み合わさったもの
　　　例）Fw: Nice pictures to see hehe ;-)
　　　Interesting stuff here !

　　　1.Fw:、Fw: Re:
　　　2.Cool、Nice、Hot、some、Funny、weird、funky、great、
　　　　Interesting、many
　　　3.website、site、pics、urls、pictures、stuff、mp3s、
　　　　shit、　　music、info
　　　4.to check、for you、i found、to see、here、- check
　　　　it
　　　5.!!、!、:-)、?!、hehe ;-)

　・本文：peace

　・添付ファイル：whatever.exe

予防策：　今まで何度も書いた通り
　　ブラウザ（InternetExplorer）にパッチを適用する。：
　　　InternetExplorer　5.01の場合、SP2を適用する。
　　　InternetExplorer　5.5の場合、SP2を適用する。
　　　あるいは最新の InternetExplorer 6.0 をインストールする。
　　　　(注:必ず、Outlook Expressを含む標準構成以上でセットア
　　　　ップすること。）

既に感染した人は以下のサイトを見て対応しましょう。

http://www.ipa.go.jp/security/topics/newvirus/aliz.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.aliz.worm.html
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_ALIZ.A

grueさん　こんにちは

いつも有難うございます。この前のご教示で、SP2やIE6にしておりますので
安心していますが、FMELLOWの方にこの情報を転載してもよいでしょうか。
あるいは、grueさんからアップしていただけないでしょうか。

紫竹のさん　

そちらでやっていただいて結構です。
これ、急ぐと思いますので、どうぞ。

grueさん　こんにちは

>そちらでやっていただいて結構です。
>これ、急ぐと思いますので、どうぞ。

有難うございます。

紫竹のさん、みなさん、

このalizと呼ばれるトロイの木馬型ウイルスの他に
badtrans（正式名 NortonでW32,Badtrans.b@mmなど）
も蔓延しているようです。昨日二つも来ました。
今年４月に発見されたもので、これもトロイの木馬型
のワームという不正プログラム。

ウイルスソフト（Nortonアンチウイルス2002）で警告が
出て、修復はできず検疫で隔離しました。　そのまま
メール毎削除する方が安全ですが。

この危険度は４で高い。

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.13312@mm.html
(これはコピー＆ペーストしてください）


http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM%5FBADTRANS%2EA

補足です、みなさん、

> このalizと呼ばれるトロイの木馬型ウイルスの他に
> badtrans（正式名 NortonでW32,Badtrans.b@mmなど）
> も蔓延しているようです。昨日二つも来ました。

今回のW32/ALIZはW32,Badtrans.bの亜種なようです。

grueさん　みなさん　　こんにちは！

またウイルス騒ぎですね。こんなウイルスを作れる能力があるのなら、もっと人の役に立つプログラムを作ってくれればいいのにねぇ(-_-;)

> この危険度は４で高い。

ワオーッ！　そりゃ大変(`_')
私はNortonアンチウイルス2001で、ウイルス定義も更新したばっかりだけど、2002じゃないと弱いのかなぁ(・_・?)

あんみつ姫さん、みなさん、

> > この危険度は４で高い。
>
> ワオーッ！　そりゃ大変(`_')

ALIZも危険度４です。　感染力が強いからでしょうね。IE5.*に適正
パッチ（SP2）を施さずに、OutlookExpress（又はOutlook）でメー
ルを読むと（開くと）それだけで（添付ファイルを開かなくても自動
的に開かれて）感染し、しかもアドレス帳に記載の全ての人に、ウイ
ルス付きメールを送るというのは、ひどいですよね。ただ、幸いなこ
とにパソコンが起動しなくなりとかいう被害はないのはありがたいが。

> 私はNortonアンチウイルス2001で、ウイルス定義も更新したばっかりだけど、2002じゃないと弱いのかなぁ(・_・?)

11月21日頃から蔓延しているので、それ以降の最新のウイルス定義ファ
イルを使っていれば大丈夫でしょう（これ自身の発見は9月4ですが）
。　いずれにしても、Nortonの言葉で言うと、LiveUpdateを頻繁に、
今だと少なくとも１週間に１回は必要ですね。こう頻繁だと３，４日
に１回でもやりたくなる。（笑）

それと、知人友人からのメールの添付ファイルでも（いやそれだから
こそかな）、不審なメールは開かないというのが重要。これも何度も
言ったのでしつっこいかな。（笑）

あんみつ姫さん、みなさん、

> > 私はNortonアンチウイルス2001で、ウイルス定義も更新した
ばっかりだけど、2002じゃないと弱いのかなぁ(・_・?)

この点での補足です。

2001は電子メールのチェックは自分で設定しないと駄目でした。
しかも受信メールに対してのみで送信には無力でした。

2002では電子メールのチェックはdefaultで設定されており、しか
も受信だけでなく送信もチェックするように変わっています。
最近のウイルスの感染は電子メール経由がほとんどで、しかも
アドレス帳から勝手に発信するので、知人友人への被害が大きく
なっています。送信がカバーされることはありがたい話です。

なお、この機能はウイルスバスターの最新版も同じでしょう。

ところで、昨日今日と立て続けにウイルス付きメールが５通も
きました。全く別の差出人からです。いかにウイルスが蔓延
しているか分かります。　注意しましょう。

補足訂正です。

> なお、この機能はウイルスバスターの最新版も同じでしょう。

ウイルスバスターは受信のみチェックのようです。送信は
ウイルスチェックしないようです。

http://www.trendmicro.co.jp/product/vb2002/index.asp

#712 grue さん　こんにちは

色々詳しい解説を有難うございます。

さて当方にはウイルスは今までにその痕跡もお目に掛からなかったのですが、つい数日前珍しくそれらしいものにお目に掛かりました。

私の環境は、OSはWin98、ネスケ、AirCraft　でメールは総てAirCraftで受けています。ウイルスにはMcAfee。
数日前にタイトルがRe:で本文が空白の添附ファイル付きのメールを知人及び未知の方から計３通受け取りました。私のアドレスのものとメロウ倶楽部のwebmaster宛のもので、このうち知人からの１通は翌日にも同様のものが来ましたので知人に電話で問い合わせたところ送った覚えがないとのことでした。この３通と翌日の１通は添付ファイルがhtmlとimage或いはdocでサイズは殆ど同じでしたのでウイルスを警戒して削除しました。メールのファイルサイズは約40kです。

削除後全ファイルにウイルススキャンを掛けたところ異常なしでした。

AirCraftでも入ってくるんですね。注意しないと！

　　ＤＯＺＥ

補足です。

> 数日前にタイトルがRe:で本文が空白の添附ファイル付きのメールを

W32.badtrans.b@mmは

１）未読メール
２）アドレス帳の全アドレス

に勝手に（本人が知らない内に）自動発信します。
このRe:だけというのは１）のケースのようです。

ＤＯＺＥさん、

> 数日前にタイトルがRe:で本文が空白の添附ファイル付きのメールを知人及び未知の方から計３通受け取りました。

その状況からすると、それは今猛威をふるっているbadtransの亜種
です。（11/24発見）

例えば次を見てください。
http://www.symantec.com/region/jp/sarcj/data/w/w32.badtrans.b@mm.html

http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM_BADTRANS.B

正式名は（Nortonの言葉で）W32.Badtrans.B@mm

昨夜から今日にかけて２つ更に来ました。もちろんNortonの
Antivirus2002で検知警告を発しました。で、今までは検疫隔
離でもよかったのに即削除を勧告してきました。　相当に悪
質なのでしょう。
それと、最後にencの付いたもう一つ亜種（変種）も出ている
ようです。　一寸気が許せません。

> AirCraftでも入ってくるんですね。注意しないと！

Nifterm、Aircraft、NiftyManager、Emniftyなどのいわゆるパソ通
ソフトの方が危険かもしれません。
パッチSP2のあてられていない場合のOE5.*のようにメールを読んだだ
けで感染することはありませんが、アンチウイルスソフトで検知警
告がでないとすると大変危険です。うっかりファイルを開けると
（ダブルクリックすると）感染するおそれがあります。
これは試してないのですが、ＤＯＺＥさん、aircraftで一度試して
いただけませんか？（笑）　いわゆる人柱、世のため人のため（笑）。

その他のメールソフト

インタネットメーラー：　ＯＥ，ＯＬ、NetscapeMessenger
　　　Becky、Eudora　　（incmもここに）
ＷＥＢメーラー：　hotmail、Yahoomail

などは、アンチウイルスで検知警告がでます。この中で特に
ＯＥとＯＬが激しい攻撃を受けていてパッチをあてるなどちゃ
んと対応しないと危ないですね。

しばらく気が抜けません。最新定義ファイルもNortpn11/24が既に
11/28に変わっています。　一週間もたない感じです。

ところで、MCAfeeの最新版、送信メールもウイルスチェックして
くれるんでしょうか？

grue さん

>Nifterm、Aircraft、NiftyManager、Emniftyなどのいわゆるパソ通
>ソフトの方が危険かもしれません。
>パッチSP2のあてられていない場合のOE5.*のようにメールを読んだだ
>けで感染することはありませんが、アンチウイルスソフトで検知警
>告がでないとすると大変危険です。うっかりファイルを開けると
>（ダブルクリックすると）感染するおそれがあります。

　私は AirCraft を使っているのですが、自動巡回の最中にタイトルが
文字化けのメールをチラッと見つけました。
　添付ファイルが有ってダウンロードし始めたので本文は判りませんでした。

　ウィルスだと直感したので norton Anti Virus の AutoProtect が動作
して居ることを確かめました。

　何時も一気読みしているので一通しか受信しなかったメールの本文が
開かれて仕舞いました。(^^;)
　「このファイルは開けません」との警告が出ました。

　本文は白紙で添付ファイルが２通有りました。

　直ぐ、次の警告が表示されました。

　「w32.badtrans@mm ウィルスを下記のところで検知しました。
このファイルは修復出来ません」とのことで、\trash\に入って居ることが
判ったので、\trash\を空（ Shift + Del ）にしました。

　以前 W95.MTX.dr が来た時も同様でしたが、AirCraft でも検知されること
が判り、ひと安心です。
　　　　　　　　　　　　　　　　　ｔｏｓｈｙ

#717 grue さん　こんにちは

先日Vscanを掛けて異常なかったんですが、AirCraftの中の１部が抜けていることに気が付きAirCraftのあるｄ：のすべてのファイルにスキャンを掛けたところ、AirCraftのtrashにある２つのファイルがウイールスでW32.Badtrans.B@mmであると出まして削除しました。これは未だ開いていないので、感染はなしで他は全く異常なしです。

AirCraftの場合ダウンしたメールそのものを削除しましてもtrashに添付ファイルが残ります。これを誤って開かないように削除する必要がありますね。

> ところで、MCAfeeの最新版、送信メールもウイルスチェックして
> くれるんでしょうか？

これは良く分かりませんがチェックしていないんではと思います。

　　ＤＯＺＥ

ＤＯＺＥさん　こんにちは

　　ＤＯＺＥさんにもですか？　達人には送達しないのかと思っていました。(^_^;)それが今日はベルギーのガールフレンドからもdoc.scrがついたのが来て、即削除し、向こうにも注意してと云ってやりました。ザックス・杉本

グルーさん　こんにちは

　　私の所へは２日にわたって７通も来ました。幸い除去は出来ましたが、送り先へ電話するやら大忙しでした。一つはMLを通して来たので広がりが大きかったようです。広報と予防が大事ですね。人間のビールスと同じく。(^_^;)ザックス・杉本

ザックスさん、

> 　　私の所へは２日にわたって７通も来ました。

７通とはすごいですね。（笑）　で、そのウイルスの名前が分かれば
教えてください。これも参考になります。

>幸い除去は出来ましたが、

その除去の経験も是非。m(._.)m 　除去はウイルス毎に違うので
面倒です。

>広報と予防が大事ですね。人間のビールスと同じく。

全くそう思います。ザックスさんらしい例えで。（笑）

grueさん　こんにちは

>> 　　私の所へは２日にわたって７通も来ました。
>
>７通とはすごいですね。（笑）　で、そのウイルスの名前が分かれば
>教えてください。これも参考になります。

　それが私への原文は捨ててしまったので、Trendmicroから一部コピーして送ります。
コレがいけないならば直ぐ消してください。

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

　メール本文："Peace."
　添付ファイル名："WHATEVER.EXE"

　メールの件名は以下の候補のうちからランダムに選択したいくつかの単語の組み合わせであり、不定です：
FW:
Fw: Re:
Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many
website
site
pics
urls
pictures
stuffs
mp3
shit
music
info
to check
you
I found
tosee here ? check it…!!
:-)
?!
heh;-)

件名例："Fw: For Funny mp3s you hehe; -)"、"Hot stuff i found!" 、"Fw: Re: many urls!"、"Fw: info to see! many site for you great urls i found"　など

　InternetExplorerのセキュリティホールを利用しメールをプレビューしただけで活動を開始する「ダイレクトアクション活動」を実現しています。メールの添付ファイルが実行されなくともメールがプレビューされたりオープンされるだけでメールの添付ファイルが実行されワームが活動を開始します。


　ワームは実行されるとWindowsのアドレス帳ファイルを検索してメールアドレスが登録されているかを調べます。アドレス帳にメールアドレスが登録されていた場合はそれを利用するメールクライアントがインストールされているものと判断し、メールユーザー名、パスワード、メールサーバーや各種SMTPの設定などメール送信に必要な情報を調べます。これらの情報が取得できなかった場合、ワームはメール送信が行えません。

　メール送信に必要な情報を取得できた場合、Windowsのアドレス帳ファイル内に登録されているメールアドレスすべてに自身のコピーを添付したメールを送信します。



---------------------------------------------------------------------------

備　考： -
　単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。システム改変なども行いません。

・検出・削除方法

1. 最新の検索エンジン・パターンファイルにアップデートしてください。

2. ”手動検索”にてシステム全体を検索してください。

3. 検出したファイルを削除してください。

　単体で独立したプログラムですので、駆除することはできません。「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合、「駆除失敗」となることがあります。その際は、検知したファイルを「削除」していただければ、問題ありません。 詳細につきましてはこちらをご覧ください

　・メールの添付ファイルとして発見された場合はプレビューせずに、メールごと削除してください。プレビューをしないように設定するにはOutlookExpressの場合の設定方法はこちらをご覧ください。

　・ WindowsMe の「_restore」フォルダからウイルス発見した場合



-
　ウイルスコード内に以下の文字列を含みます：

　"iworm.alizee by mar00n!ikx2oo1"

-
　このウイルスが利用するセキュリティホールに関しましては以下のマイクロソフト社の説明をご参照の上、対策パッチの導入をお勧めします。

・ダイレクトアクション活動について：
不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
　この問題はIE5.01SP2、IE5.5SP2により回避できるようです。

※マイクロソフト製品のセキュリティホール情報に関しましてはMicrosoft TechNet セキュリティセンターをご参照ください。


　　　戻　る　　ウイルスDBトップ

--------------------------------------------------------------------------------

Copyright (c) 1999-2001 Trend Micro Incorporated. All rights reserved.

なお、昨夜も８通ほど来ましたので、計１５通くらいでしょうか。医師会系のML２つに入っているのでそこから流れ込んだようです。ホントのラブレターならナア・・・です。(^_^;)
　
>>幸い除去は出来ましたが、
>
>その除去の経験も是非。m(._.)m 　除去はウイルス毎に違うので
>面倒です。

　　私はそのタイトルを反転させて（私はニフターム使用）「アーティクル削除」し、更にファイルの「ファイルスペースの解放」をクリックして終わりでした。
　
>>広報と予防が大事ですね。人間のビールスと同じく。

　明日はインフルエンザの予防注射を１回だけ打ちに行きます。(^_^;)　　ザックス・杉本

ザックス・杉本 さん

>　　私はそのタイトルを反転させて（私はニフターム使用）「アーティクル削除」し、更にファイルの「ファイルスペースの解放」をクリックして終わりでした。

　或る掲示板には書いたのですが、詳細説明して置きますね。

　一般のウィルス検知ソフトは Outlook Express や Becky! などの
インターネットのメーラーでは警告が出ますが、NifTerm で受信した
このワームは感染しない限り、ウィルス検知ソフトでは警告が出ない
ようです。

　（私は NifTerm を使って居ませんので知人の経験からです。
　　AirCraft で Sircam を受け取った際は警告が出ました）

　さて、多くのメールソフトがそうで有るように、NifTerm の場合も
メールは例えば SGB12345.txt と言った一つのファイルになって居ます。
（添付ファイルも一緒に入って居ます）

　そこで、ウィルスメールのタイトルを反転させ、「ファイル」「添付
ファイルの削除」とか、「編集」「アーティクルの削除」をやっても
メールのファイルの大きさが減少しないことに注目しなければなりません。

　つまり、そのような方法では表示されないだけで、メールのファイルの
中に温存されて居るのです。
（もっとも見えないので、開くことは無いと思いますが）

　しかし、獅子身中の虫は駆除したいものです。

　ここで「ファイル」「ファイルスペースの解放」を実行して初めて
ファイルの大きさが小さくなります。

　以上、念のため。
　　　　　　　　　　　　　　ｔｏｓｈｙ

ザックスさん、即応レスありがとうございます。

> 　それが私への原文は捨ててしまったので、Trendmicroから一部コピーして送ります。
> コレがいけないならば直ぐ消してください。

いえ、まさにピッタリです。対処法までついてますね。
まさに、今噂のALIZですね。

> 　メール本文："Peace."
> 　添付ファイル名："WHATEVER.EXE"

ここでALIZとわかります。

またザックスさんがウイルスバスターをお使いのことも分かります。

> なお、昨夜も８通ほど来ましたので、計１５通くらいでしょうか。医師会系のML２つに入っているのでそこから流れ込んだようです。

なるほど、了解です。

>ホントのラブレターならナア・・・です。(^_^;)

はは、でもそうだと、いくらザックスさんでも体が保たないのでは？
（笑）

> 　　私はそのタイトルを反転させて（私はニフターム使用）「アーティクル削除」し、更にファイルの「ファイルスペースの解放」をクリックして終わりでした。

これも了解。ウイルスバスターの警告により水際でくい止めて
削除したということですね。取り込んだわけではないので、
容易です。もし取り込むと駆除法とくびっぴきで除去しないといけな
いことになります。

> 　明日はインフルエンザの予防注射を１回だけ打ちに行きます。(^_^;)　

１回でいいのですか？　ははあ、ウイルス駆除専門家ということを
ウイルスも知って、敬遠するのかな？（笑）

ところで、今年から、高齢者へのイフルエンザ予防注射を地方自治体
でやることになったとか聞きました。確か一度止めましたよね。

grueさん

　一部訂正したい所がありますので追加します。

>>ホントのラブレターならナア・・・です。(^_^;)
>
>はは、でもそうだと、いくらザックスさんでも体が保たないのでは？（笑）

　独り占めはしません。お裾分けします。(^_^;)

>> 　　私はそのタイトルを反転させて（私はニフターム使用）「アーティクル削除」し、更にファイルの「ファイルスペースの解放」をクリックして終わりでした。
>
>これも了解。ウイルスバスターの警告により水際でくい止めて削除したということですね。

　いえ、警告はありませんでした。exeで直ぐ、気づいたわけです。　　

>> 　明日はインフルエンザの予防注射を１回だけ打ちに行きます。(^_^;)　
>
>１回でいいのですか？　ははあ、ウイルス駆除専門家ということを
>ウイルスも知って、敬遠するのかな？（笑）

　１回でもしないよりマシと聞きましたので。

>ところで、今年から、高齢者へのイフルエンザ予防注射を地方自治体
>でやることになったとか聞きました。確か一度止めましたよね。

　一度止めたら、猛威をふるったのでしないよりまし、と言うことのようですね。詳しくは知りませんが、６５才以上には補助が出るようです。”補助が出る、ならばソンする受けようか？の口です。(^_^;)　　ザックス・杉本

ザックスさん、

> 　独り占めはしません。お裾分けします。(^_^;)

それでは活きのいいところを一つ二つ、えっ、何の話です？（笑）

> 　いえ、警告はありませんでした。exeで直ぐ、気づいたわけです。

ふーん、そうですか？警告なし？　ｔｏｓｈｙさんもコメントして
おられるように、NIFTRMは警告なしなんですね。

ところで、OutlookExpressは検知しますが、Outlook、Becky、
そしてINCMも検知します。Hotmailも検知ですね。　Airterm、
Emniftyなどはどうなでしょうね？　Niftermと同じ仲間だから駄目
かな？　「知人からのメールでも不審添付ファイルは絶対開かない」
ということが重要ですね。
　
> 　一度止めたら、猛威をふるったのでしないよりまし、と言うことのようですね。詳しくは知りませんが、６５才以上には補助が出るようです。”補助が出る、ならばソンする受けようか？の口です。(^_^;)　
　
あらら、ザックス先生のお言葉とも思えないような（笑）。