2004年05月12日(水) 19時34分
IEやOEの脆弱性を悪用し、リンクをクリックするだけで感染するウイルス(impress Watch)
トレンドマイクロは12日、Internet Explorer(IE)やOutlook Express(OE)の脆弱性を悪用するウイルス「Wallon.A」を警告した。トレンドマイクロでは危険度“中”と評価している。
Wallon.Aはトロイの木馬型不正プログラムで、任意の宛先にHTML形式のメールを送信するマスメーリング型の感染活動を行なう。IEやOEの脆弱性を悪用し、メール本文中のリンクをクリックしただけで、ウイルスプログラムが実行され、感染してしまうのが特徴だ。12日現在、ドイツを中心としたヨーロッパや中東、アフリカ地域で流行が確認されているという。
Wallon.Aのウイルスメールの本文部分には、URLが「http://drs.yahoo.com/<受信者のドメイン名>/NEWS」と表示されているが、実際にそのURLをクリックすると「http://www.security<略>-warning.biz/personal6/maljo24/www.YAHOO.com/」という悪意のあるWebサイトにリダイレクトされ、ウイルスプログラムがダウンロードおよび実行される仕組み。この際に、IEの脆弱性「MS04-004」とOEの脆弱性「MS04-013」が悪用されており、ユーザーが意図せずにウイルスが実行されてしまう。
Wallon.Aに感染すると、「OLE error 8004010F.」と書かれたエラーメッセージが表示された後に自分自身をコピーし、レジストリを改変する。続いて、Windowsのアドレス帳を参照してメールアドレスを収集し、メールを送信する。送信するメールの内容は以下の通り。
送信者:<ユーザアカウント>
件名:Re:
本文:
http://drs.yahoo.com/<受信者のドメイン名>/NEWS
250.2.6.0 Queued mail for delivery QUIT 221.2.0.0
pdc.Fishinet.com Service closing transmission channel
Wallon.Aに感染した場合、Windows Media Playerが上書きされてしまう可能性があるため、ウイルス対策ソフトでウイルス「Wallon.A」を駆除した後に、「アプリケーションの追加と削除」でWindows Media Playerを再インストールしなければならないという。
関連情報
■URL
Wallon.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_WALLON.A
■関連記事
・ 任意コードの実行が可能な脆弱性を含むOutlook Express用累積的パッチ(2004/04/14)
・ URLを偽装できる脆弱性を修正したIEの累積的修正プログラム公開(2004/02/03)
( 大津 心 )
2004/05/12 14:43(impress Watch)
http://headlines.yahoo.co.jp/hl?a=20040512-00000016-imp-sci