　WORM_ALIZ.A

掲載日：2001年11月22日　22:00更新

こんな警告文が届いていませんか？

----- Original Message -----
From: -----
To: --@yokohama-cu.ac.jp
Sent: Friday, November 23, 2001 2:46 AM
Subject: Funny site to see !!

------------------ Virus Warning Message (on dns)

Found virus TROJ_ALIZ.A in file whatever.exe
The uncleanable file whatever.exe is moved to /etc/iscan/virus/virOCBdlbyY4.

これは運営室が設置したウイルスウォールがあなた宛に届いた
メールからウイルスを駆除した旨を伝えるメールです。

以下ＺＤNNより部分抜粋

「Nimda」と同じInternet Explorerのセキュリティホールを利用して感染するワーム。
Nimdaと同様，メールをプレビューしただけで添付ファイルが開かれるダイレクトアクション型のため注意が必要。
感染メールは任意の単語で組み合わされたSubjectに，
本文が「Peace.」と書かれている。添付ファイル名は「WHATEVER.EXE」。
実行されると，アドレス帳に登録されているメールアドレスすべてに複製を送信する。
システム改変などは行わない。

--以下運営室--
特徴
　　以前流行していたトロイの木馬にNimdaのメール感染機能を追加したもの。
　　メールを媒介にして広まるワーム。増殖速度が高い。
　　環境によってはメール本文を表示（プレビュー含む）した
　　　　だけで感染する。
　　メール本文と添付ファイル名に特徴があり、
　　　　他のメールと容易に区別が可能。

　　基本的に運営室設置のＦＷにて検出・駆除が可能。
　　　　（１桁の確率で検知できない場合もあります。）

　　ウイルスソフトの定義更新と添付ファイル破棄で
　　　　対応可能。

感染経路
　　メールにて送付されます。

　　Outlook，OutlookExpress，PostPet（?）などのhtmlメールを自動的にプレビューしてしまう
　　　　メーラーでは受信後、選択した時点で感染します。

　　他のメーラの場合、添付ファイル『WHATEVER.EXE』を実行する事で感染します。
　　　　

見分け方

　　見出しが基本的に興味を引くような英文です。
　　送信元のメールアドレスは開かないでも参照できますので
　　　　或程度の判断が可能です。
　　ウイルス本体が添付ファイルとしてついています。
　　　　現時点ではWHATEVER.EXEです。
　　　　ただし、亜種が発生した場合はこの限りではありません。

怪しげなメールを受信した場合…

　　発信者と表題をメモした後、開かずに削除してください。

　　発信元に電話・FAXにて（メールは避けてください）連絡を取り、
　　　　メールを送付した覚えがあるかの確認を取ってください。
　　　　念のため相手方にウイルスチェックをしてもらうと良。
　　　　正常なメールであれば再発送してもらってください。
　　　　この場合は誤認されるようなメールを送付した側に落ち度があります。

　　　　逆に同様の問い合わせがきた場合は真摯に対応してください。

誤ってメール本文を開いてしまった場合…
　　
　　落ち着いて対処をしましょう。
　　　　添付ファイルは開かないでください。
　　
　　被害拡大を止めるためネットワークケーブルを
　　　　抜きます。

　　本文が　peace　となっている場合はウイルスです。
　　　　次に添付ファイル名を確認してください。
　　　　　　
　　　　　　添付ファイルがない、
　　　　　　　　もしくは本文が上にあります”警告文”であった場合
　　　　　　　　ウイルスは運営室にて検疫済みです。

　　　　　　　　今回はウイルスは検疫されているため感染はしていません。
　　　　　　　　　しかし、運が良かっただけですので
　　　　　　　　　自戒し、一刻も早くアンチウイルスソフトの導入・定義更新をしてください。

　　　　　　　　　もしあなたがOutlook，OutlookExpressユーザであった場合、
　　　　　　　　　FWが無ければ感染し、アドレス帳に乗っている方へ
　　　　　　　　　内外問わずウイルスを発信していました。
　　　　　　　　
　　　　　　　　　今回はウイルスは検疫されているため感染はしていません。
　　　　　　　　　しかし、運が良かっただけですので
　　　　　　　　　自戒し、一刻も早くアンチウイルスソフトの導入・定義更新をしてください。
　　　　　　
　　　　　　添付ファイルにWHATEVER.EXEや○○.exeファイルがある場合…
　　　　　　　　ウイルスの可能性が非常に高いため、絶対に開かず、
　　　　　　　　相手方に電話・FAXにて確認を取ってください。
　　　　　　　　確認後、相手に送信した記憶がない場合は即、メールを削除してください。
　　　　　　　　
　　　　　　　　　　もしあなたがOutlook，OutlookExpressユーザであった場合
　　　　　　　　　　既に感染している疑いがあります。次項添付ファイルを実行した場合へ進んでください。
　　　　　　
　　　　　　　　他のメーラーの場合はメールを削除の後、
　　　　　　　　アンチウイルスソフトの導入・定義ファイルの更新を行ってください。

添付ファイルを実行した場合
　　事態は緊急を要します。
　　　　先ずネットワークケーブルを抜いてください。
　
　　添付ファイルの内容が上の警告文ではありませんでしたか？
　　　　再度確認してください。
　　　　内容が合致している場合は
　　　　前項中の添付ファイルがない、もしくは本文が上にあります”警告文”であった場合へ。
　
　　添付ファイル名がWHATEVER.EXEの場合は感染しています。
　　　　御自分のアドレス帳の内容から送付が予想される相手へ電話・FAXにて
　　　　感染メールの送付について報告と謝罪を行って下さい。
　　　　
　　　　感染した機体はアンチウイルスソフトに最新定義を適用して
　　　　駆除を試みてください。
　　　　導入や定義ファイルの更新の際は必ずCDやMOの形で行い、
　　　　駆除が成功するまではネットワークに接続してはなりません。
　　　　
　　　　
　　他のファイル名であった場合は
　　　　上記の方法にて最新定義を適用した安置ウイルスソフトでスキャンし、
　　　　様子を見てください。

ウイルスメールを送信した側が気づかぬ限り幾度もウイルスが送信されます。
　　同一のメール内容でも検出できなければ感染する可能性があります。