2/6 2/5 1/27　13:30、12:00、11:45、 11:00 1/27　10:45　10:15 1/27　10:00 1/27　9:40 1/27　9:20

　１　ワクチンベンダ各社が配布する無償駆除ツールによる検疫をお願いします。
　　　　Symantec社駆除ツール
　　　感染が確定している場合は、別の機体でダウンロードし、
　　　フロッピーなどで、感染した機体へコピーし、実行してください。
　　　（予防段階の場合は直接ダウンロード、実行してください）

　２　感染自体を防ぐため、ワクチンソフトの定義ファイルをアップデートしてください。
　
　　※定期的にWindowsUpdateを行い、脆弱性をつくタイプ（能動的に感染・発病・拡散）に対する態勢をとってください。
　　※電子メールは未だに9割以上のウイルスの感染ルートです。 不審な添付ファイルは開かないようにしましょう。

Novarg（Mydoom、Mimail_r）の特徴

■ 詐欺・詐称を行います。
　　送信元、送信先はほぼランダムに選定されます。
　　ウイルス警告や、テストメール、エラーメールを装い、添付ファイルを実行させようとします。

■拡散力が、既存のメール大量送信ワームとは一線を画します。
　　感染した期待から発せられるウイルスメールは１分間に100通に達します。
　　また、上記の巧みな騙り（ソーシャル・エンジニアリング）によって、
　　”添付ファイルを実行しなければ感染しない”タイプにもかかわらず、感染者は後を絶ちません。


　

　情報ネットワーク係では上の図のように、外部とのメールは全てチェックを行っていますが、
　学内や部署内などの間でやり取りされるメールは、内部の経路のみで完結しますので、
　
　外部へは直接飛び火しないものの、実質的に内部感染に対しては無効になっています。
　さらに、感染したノートPCによる被害の拡大などもあり、私たちの講じ得る、定点型の対策は、すでに
　このタイプ（メール感染型、ネットワーク拡散型）のウイルスには対処することができません。

　そこで、防衛ラインは、水際、すなわち皆さんのPCそのものに移行しています。
　情報ネットワーク係では、ワクチンベンダとライセンス契約を行い、
　ワクチンソフト（NortonAntiVirus)を学内のユーザに対して無償で配布し、
　個人レベルにおける防御を可能にしています。
　
　逆に、無防備なまま運用を続けられた場合、防ぐ意思を持たない、だけではなく、
　ウイルスや不正進入を中継する橋頭堡となりかねません。

　特にネットワーク型のウイルスなどは、脆弱性が放置されていれば、
　例外なく一瞬で感染し、周囲に対して攻撃を開始してしまいます。

　今回のNobargは幸いにして破壊力や、能動的な感染を”放棄”しています。
　これらの能力は既知のものであり、組み合わせることも、改悪することも容易に可能です。

　次に大規模なセキュリティーホールが発見されれば、未対策PC全てが対象となる
　亜種や新種、複合型が発生する可能性があります。

　低いレベルの改悪、焼き増しはすぐに始まります。
　今回は上の２点をお願いします。

Norvarg補足

感染した機体のディスクから、メールアドレスと思われるデータを抽出し、一覧表を作成します。
そして、送信先アドレス（To:）、発信者アドレス（From：)を、一覧表からランダムに組み合わせて、ウイルスを大量に送信します。
つまり、ウイルスの送信元アドレスも詐称されている可能性が高いということです。

また、このメールの送信量は、１分間に100通に及びます。
感染したまま放置しますと、貴方のコンピュータに記録されたすべてのメールアドレスに対して”満遍なく、
執拗に”ウイルスメールを送り続けます。

また、この送り元アドレスを詐称するウイルスは既に何種か発生していますが、
現在のワクチンソフトの共通ルール『メール中にウイルスを検知した場合、送信元アドレスに対して、警告メールを送信する。』によって、
ウイルス警告メール『あなたの送信したメールにはウイルスに感染していたため、これを削除しました』を、
機械的に、詐称されている送信元アドレスに発信してしまうといった、別の問題も確認されています。

対策済みであっても（感染していなくても）、 個人の導入しているワクチンソフトや、企業のゲートウェイウイルスチェッカーなどによって、
警告メールが送信されてくる可能性ががあります。

※感染対象の、wabファイル（”Outlook”及び”OutlookExpress”で使用されている、アドレス帳です。WindowsOSならば、確実に存在します。）や、
　インターネットの閲覧記録（ホームページ上に記載されている連絡先や、掲示板の返信先など）や、文書ファイル、メールデータなど、
　ディスク上に存在する、あらゆるメールアドレスを抽出して、リストを作成します。
　（このため、特に公に近い立場や折衝、広報を取り扱う方のアドレスはリストに載りやすく、
　　送信元、送信先、いずれにもセットされる頻度が高い傾向にあります。）

※このメールアドレスの一覧表は次のように使用されます。
　To：（送り先）に設定されるほか、From：（発信者）にも同様に設定されます。
　つまり、『ウイルスが送られてきたアドレスは、実際に感染している機体の所有者とは別人である可能性が高い』のです。
　ただし、自分のメールアドレスも、一覧表には記載されている筈です。、
　（メールには送受信先のデータが残っていますし、文書内で連絡先として記述しているなど）

■感染したメールを大量に送付する、大量メール送信型ワームです。
　　添付ファイルの実行によって感染し、ウイルスを添付したメールを大量に送信します。

■感染対象となるOSはWindows95,98,Me,2000,XPです。

　　メールの送信はバックグラウンドで行われるため、目に見える変化はありません。
　　（”ネットワークの状態”ウインドウや、LANカード等のインジゲータで、異常なデータの送信量を視認することは可能です）


　件名、本文、添付ファイル名ともに、複数のパターンが存在します。
　しかし、現在のところ全て英語表記になっているため、

　・英語で送信されてきた、不審なメールは開かずに削除する。
　・添付ファイル（特に.exe、.scrなどの実行形式）は不用意に実行しない。

　上記二点の原則を守ってください。　
　
　Novargは次の様に、エラーメッセージを装って届くことがあります。
　添付ファイルは、ワームそのものですので、決して実行しないでください。

　メールの件名の例：
　「Mail Delivery System」
　「Test」
　「Mail Transaction Failed」

　○The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
　○The message contains Unicode characters and has been sent as a binary attachment.
　○Mail transaction failed. Partial message is available.

　その他
　各種のワクチンソフトの動作を妨害し、終了させようと試みます。
　感染した場合、LANケーブルを抜き、ワクチンベンダが配布する駆除ツールを使用してください。

　トロイの木馬（遠隔操作や情報の盗聴を行う、ダミープログラム）を埋め込み、
　特定のサイトを攻撃するように仕掛けます。

　また、トロイの木馬との通信に使用するため、裏口を設置します。
　
　symantecの関連ページ