コンピュータウィルス総合スレッド VOL.24

【危険】最新流行中のウィルス！　■■パスワードなどを盗むワームBugBear■■
Bugbear（W32/BugBear-A, W32/BugBear@mm, Tanatos）ワームが猛威を振るっています

●予防策：ブラウザ（InternetExplorer）にパッチを適用する
　　InternetExplorer　5.01の場合、SP2を適用する。
　　InternetExplorer　5.5の場合、SP2を適用する。
　　InternetExplorer 6.0 をインストールする(必ず、Outlook Expressを含む標準構成以上で行なう）。
　　※ 但し、IE5.01はサポートが打ち切られているので5.5SP2以上を推奨
　★外部からの137と138ポートの通信をファイアウォールで遮断し、
　　ネットワーク内部のNetBios 名前解決（ブラウジング）の異常増加を監視する

●駆除と修復：専用駆除ツールを利用する
http://www.nai.com/japan/virusinfo/stinger.asp
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

●詳細
OutlookとOutlookExpressで発見された不正MIMEヘッダの問題（MS01-020）を利用して
電子メールを媒介に感染します。また、ファイル共有ネットワーク経由でも拡散します。
感染したコンピュータは自身のハードディスクから電子メールアドレスを収集し、
詐称したメールヘッダを生成します。Klez同様、Bugbearウイルスの感染者と
From欄のメールアドレスには関係が無い可能性がある点に注意する必要があります。

このウイルスはファイル共有ネットワークを通しても増殖を試みます。ウイルスは
ネットワークプリンタと共有ディレクトリとの違いを認識できないため、共有されて
いるネットワークプリンタに対してもウイルスを送信します。
このため、環境によってはウイルスの活動のたびに不可解な文字列の羅列が
数ページに渡り出力される症状が現れます。

一旦コンピュータがこのウイルスに感染すると、コンピュータとファイルを完全に
支配できるバックドアをTCPの36794ポートに作成します。これには、披感染PCを
利用したユーザの全てのキーボードのログも含まれます。キーロガー機能がある為、
ウイルスに感染したPCを使ったユーザは駆除後、直ちにパスワードを変更するべきです。