W32.Aliz.Wormは非常に単純なSMTP大量メール送信ワームです。このワームはアセンブラで記述された後、圧縮されています。

このワームは、Windowsのアドレス帳に登録されているメールアドレスに自分自身を勝手に送信することによって繁殖します。

このワームは、電子メールで届いた場合にMIMEヘッダーに関するセキュリティホールを利用して、ユーザがメッセージを読んだり、プレビューしたりするだけで添付ファイルが自動的に実行されるように設計されています。このセキュリティホールに関する情報と修正プログラムについては、下記ページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp

種別: ワーム

感染サイズ: 4,096 バイト

対応日(Intelligent Updater)* 01/05/22(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 3-9 地域感染度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 中 ダメージ: 低 感染力: 高

ダメージ

• 発病症状:
  • 大量メール送信: Windowsのアドレス帳で発見したメールアドレスに自分自身を送信する。
    

感染力

• メール件名: ランダム
  
• 添付ファイル: whatever.exe (受信メールの添付ファイルとして表示されない可能性がある。）
  
• 添付ファイルのサイズ: 4,096 バイト

W32.Aliz.WormはMTPサーバーに電子メールを送信するための独自のSMTPエンジンを持っています。SMTPサーバーのアドレスは標的となったユーザのコンピュータ上にある"Internet Manager Account"レジストリキーから取得されます。実際のメールアドレスは、ワームが次のレジストリキーにアクセスすることによって発見したWAV(Windows Addoress Book)から取得されます。

HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name

このワームが送信する電子メールの件名は、次の文字列をランダムに組み合わせた内容になります。

Fw:
Fw: Re:

Cool
Nice
Hot
some
Funny
weird
funky
great
Interesting
many

website
site
pics
urls
pictures
stuff
mp3s
shit
music
info

to check
for you
i found
to see
here
- check it

!!
!
:-)
?!
hehe ;-)

例： "Fw: Cool pictures - check it!"

このワームが電子メールで届いた場合、MIMEヘッダーに関するセキュリティホールを利用して、ユーザが受信したメッセージを読んだり、プレビューしたりするだけで添付ファイルが自動的に実行されるように設計されています。このセキュリティホールに関する情報と修正プログラムについては、下記ページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
2. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
     
   
   
3. システム全体のスキャンを実行します。
   
4. W32.Aliz.Wormとして検出されたファイルをすべて削除します。