発見日: November 24, 2001
更新日: February 13, 2007 11:38:10 AM
別名: I-Worm.BadtransII [KAV], Badtrans.B@mm [Norman], W32/Badtrans.B [Panda], WORM_BADTRANS.B [Trend], W32/Badtrans-B [Sophos], W32/Badtrans.B@mm [F-Secure], W32/BadTrans@MM [McAfee], Win32.Badtrans.29020 [CA], Worm/Badtrans.B [Vexira]
種別: Worm
感染サイズ: 29,020 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2001-0154


感染被害の報告件数が減少したことにより、Symantec Security Response は 2003年 5月 5日、このワームの危険度を「3」から「2」に変更しました。
W32.Badtrans.B@mm は、自分自身を数種類のファイル名のうちいずれかのファイル名をつけた添付ファイルとして電子メールで勝手に送りつける MAPI ワームです。このワームはまた、\Windows\System\Kdll.dll を作成し、このファイルにある関数を使ってキー操作のログを生成します。

ウイルス対策日

  • Rapid Release 初回バージョン November 24, 2001
  • Rapid Release 最新バージョン February 24, 2018 リビジョン 009
  • Daily Certified 初回バージョン November 24, 2001
  • Daily Certified 最新バージョン February 25, 2018 リビジョン 001
  • Weekly Certified 初回リリース日 November 24, 2001

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Peter Ferrie

発見日: November 24, 2001
更新日: February 13, 2007 11:38:10 AM
別名: I-Worm.BadtransII [KAV], Badtrans.B@mm [Norman], W32/Badtrans.B [Panda], WORM_BADTRANS.B [Trend], W32/Badtrans-B [Sophos], W32/Badtrans.B@mm [F-Secure], W32/BadTrans@MM [McAfee], Win32.Badtrans.29020 [CA], Worm/Badtrans.B [Vexira]
種別: Worm
感染サイズ: 29,020 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2001-0154


W32.Badtrans.B@mm は、電子メールの添付ファイルとして届きます。添付ファイル名は、数種類のファイル名のいずれかと 2 つの拡張子を組み合わせた名前です。そのファイルには、ワームの動作を制御する次のようなビットセットが含まれています。

001 すべてのウィンドウ内のテキストをログに記録する
002 キーログを暗号化する
004 ログファイルをワームファイルに含まれているアドレスリストの1つに送信する
008 キャッシュされているパスワードを送信する
010 特定のタイミングでシャットダウンする
020 レジストリ名(または kernel32)と同じ名前をコピーに使用する
040 kernel32.exe をコピー名として使用する
080 現在のファイル名をコピーのパスとして使用(100 チェックをスキップ)
100 自身を %system% にコピー( または %windows% )


注意: Norton AntiVirus が(W32.Badtrans.B@mm ではなく)W32.Badtrans@mm.enc として通知した場合、NAV はメールの本文に含まれているMIMEヘッダーの脆弱性を検出しているだけで、添付ファイルが削除されている限り害はありません。このような場合は、W32.Badtrans.B@mm.enc として検出されたメッセージを削除し、そのメールの差出人にその旨を知らせてください。また、システム全体の完全スキャンを実行し、他にも感染している箇所がないか確認することをお勧めします。
.enc が付いた名称で通知される状況についての詳細は、 「
末尾に .enc が付いた検出名が通知される場合の対処方法 」をご覧ください。


W32.Badtrans.B@mm は、初回実行時、上記のコントロールビットに基づいて、自分自身を %System% または %Windows% に kernel32.exe としてコピーします。その後、自分自身をサービスプロセスとして登録します(Windows 9x/Me の場合のみ)。次に、%System%\Cp_25389.nls というキー操作ログファイルと、キー操作ログ生成コードを含む %System%\Kdll.dll ファイルを作成します。


備考: %Windows% および %System% の部分は上記とは異なる可能性があります。このワームは、\Windows フォルダ(通常は C:\Windows または C:Winnt) または \System フォルダ(通常は C:\Windows\System または C:Winnt\System32)を探し出し、その場所に自分自身をコピーします。


このワームは、タイマーを使って、感染先のシステム上で現在開いているウィンドウを 1 秒毎にチェックし、ウィンドウタイトルの先頭 3 文字が次のいずれかに該当するウィンドウが開いていないか調べます。
  • LOG
  • PAS
  • REM
  • CON
  • TER
  • NET

これらのテキストは、LOGon, PASsword, REMote, CONnection, TERminal, NETwork といった単語の先頭 3 文字に該当します。チェックリスト内には、これらの単語のロシア語バージョンも含まれています。該当する単語が見つかった場合、キー操作の記録が 60 秒間オン状態になり、30 秒毎にログファイルとキャッシュされたパスワードが以下のいずれかのアドレス、あるいは、現在は運営されていない他の Web サイトに送信されます。
  • ZVDOHYIK@yahoo.com
  • udtzqccc@yahoo.com
  • DTCELACB@yahoo.com
  • I1MCH2TH@yahoo.com
  • WPADJQ12@yahoo.com
  • smr@eurosport.com
  • bgnd2@canada.com
  • muwripa@fairesuivre.com
  • eccles@ballsy.net
  • S_Mentis@mail-x-change.com
  • YJPFJTGZ@excite.com
  • JGQZCD@excite.com
  • XHZJ3@excite.com
  • OZUNYLRL@excite.com
  • tsnlqd@excite.com
  • cxkawog@krovatka.net
  • ssdn@myrealbox.com

20 秒経過すると、適切なコントロールビットがセットされている場合、ワームは終了します。

感染先のコンピュータ上に RAS サポートが存在する場合、このワームは RAS 接続がオン状態になるまで待機し、接続が行われると、33% の確率で %Personal% および Internet Explorer の %Cache% フォルダ内にある *.ht* および *.asp ファイルに保存されているメールアドレスを探し、発見したメールアドレスすべてに感染先ユーザが使用している SMTP サーバを使って電子メールを送りつけます。このサーバーが利用不可能な場合、ワームは自分自身のリストから選択します。添付ファイル名には、次のいずれかが使用されます。
  • Pics
  • images
  • README
  • New_Napster_Site
  • news_doc
  • HAMSTER
  • YOU_are_FAT!
  • stuff
  • SETUP
  • Card
  • Me_nude
  • Sorry_about_yesterday
  • info
  • docs
  • Humor
  • fun

このワームは常に MAPI を使って未読メールを探し、その差出人に返信メールを送信します。この場合のメール件名は "Re:"です。また、そのメールに添付されるファイル名は次のいずれかになります。
  • PICS
  • IMAGES
  • README
  • New_Napster_Site
  • NEWS_DOC
  • HAMSTER
  • YOU_ARE_FAT!
  • SEARCHURL
  • SETUP
  • CARD
  • ME_NUDE
  • Sorry_about_yesterday
  • S3MSONG
  • DOCS
  • HUMOR
  • FUN

ファイル名に付加される拡張子のうち、最初の拡張子には、次のいずれかが使用されます。
  • .doc
  • .mp3
  • .zip

2 つめに付加される拡張子には、次のいずれかが使用されます。
  • .pif
  • .scr

その結果作成されるファイル名は、CARD.doc.pif や NEWS_DOC.mp3.scr のようになります。

メールの「差出人」には、そのコンピュータ上に SMTP 情報が存在する場合はその情報が使用され、それ以外の場合は次のいずれかの名前とアドレスが使用されます。

  • "Mary L. Adams" <mary@c-com.net>
  • "Monika Prado" <monika@telia.com>
  • "Support" <support@cyberramp.net>
  • " Admin" <admin@gte.net>
  • " Administrator" <administrator@border.net>
  • "JESSICA BENAVIDES" <jessica@aol.com>
  • "Joanna" <joanna@mail.utexas.edu>
  • "Mon S" <spiderroll@hotmail.com>
  • "Linda" <lgonzal@hotmail.com>
  • " Andy" <andy@hweb-media.com>
  • "Kelly Andersen" <Gravity49@aol.com>
  • "Tina" <tina0828@yahoo.com>
  • "Rita Tulliani" <powerpuff@videotron.ca>
  • "JUDY" <JUJUB271@AOL.COM>
  • " Anna" <aizzo@home.com>

メール本文は、不適切な MIME ヘッダーによるセキュリティホールを利用して添付ファイルが Microsoft Outlook 内で自動的に実行されてしまうように設計された HTML 形式になっています。このセキュリティホールに関する詳細は、下記ページをご覧ください。

http://www.microsoft.com/japan/technet/security/bulletin/ms01-020.asp

このワームは、同じ人にワームメールを重複して送信しないようにするために、送信を完了したメールアドレスを %System%\Protocol.dll ファイルに記録します。さらに、感染メールを受け取ったユーザが差出人に返信して警告することを避けるために、差出人のメールアドレスの先頭に"_" という文字を付加します(例えば、user@website.com の場合、受信メールの差出人欄には _user@website.com と表示されます)。


メール送信が完了すると、ワームは次のレジストリキーに

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

次の値を追加します。

Kernel32 kernel32.exe

その結果、Windows の次回起動時にワームが自動的に実行されるようになります。ここで追加される値は、前述のコントロールビットにより異なる可能性があります。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Peter Ferrie

発見日: November 24, 2001
更新日: February 13, 2007 11:38:10 AM
別名: I-Worm.BadtransII [KAV], Badtrans.B@mm [Norman], W32/Badtrans.B [Panda], WORM_BADTRANS.B [Trend], W32/Badtrans-B [Sophos], W32/Badtrans.B@mm [F-Secure], W32/BadTrans@MM [McAfee], Win32.Badtrans.29020 [CA], Worm/Badtrans.B [Vexira]
種別: Worm
感染サイズ: 29,020 バイト
影響を受けるシステム: Windows
CVE 識別番号: CVE-2001-0154


このワームの駆除には、 W32.Badtrans.B@mm 駆除ツール のご使用をお勧めします。何らかの理由でこのツールを入手できない場合は、以下の手順にしたがって手動で駆除してください。

手動駆除方法


W32.Badtrans.B@mm の手動駆除方法を説明したオンラインチュートリアルを
こちら (英語)でご覧いただけます。

W32.Badtrans.B@mm を手動で駆除するには、最初にワームファイルを削除し、その後、レジストリに行われた変更を元の状態に戻す必要があります。

ワームファイルの削除方法


次のうち、ご使用の Windows に適切な手順にしたがって作業してください。

Windows 95/98/Me/2000/XP

ワームファイルが実行中の可能性があるため、Norton AntiVirus を使ってワームファイルを削除できるようにするためには、ほとんどの場合、コンピュータをセーフモードで再起動する必要があります。


注意(Windows Me/XP ユーザ様のみ): Windows Me/XP をお使いの場合は、駆除作業を始める前に必ず、後述の「Windows Me のシステムの復元オプション」または「 Windows XP のシステムの復元オプション 」で説明されている手順でシステムの復元オプションをオフにする必要があります。

    3. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。 4. システム全体のスキャンを実行します。
    5. W32.Badtrans.B@mm として検出されたファイル名をすべて書き留め、その後、それらのファイルを削除します。
    6. スキャンが終わったら、後述の「レジストリのバックアップ方法」セクションへ進んでください。

Windows NT

ワームファイルが実行中の可能性があるため、Norton AntiVirus を使ってワームファイルを削除できるようにするためには、ほとんどの場合、ワームのプロセスを停止させる必要があります。
    1. LiveUpdate を実行し、ウィルス定義を最新版に更新します。
    2. Ctrl+Alt+Delete を同時に押します。
    3. タスクマネージャをクリックします。
    4. [プロセス] タブをクリックします。
    5. リスト最上部の [イメージ名] を 2 度クリックして、プロセス名をアルファベット順に並べ替えます。
    6. リストをスクロールして、kernel32.exe を探します。そのファイルを発見したら、それをクリックして [プロセスの終了] をクリックします。
    7. タスクマネージャを閉じます。
    8. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。 9. W32.Badtrans.B@mm として検出されたファイル名をすべて書き留め、その後、それらのファイルを削除します。
    10. スキャンが終わったら、後述の「レジストリを編集するには」セクションへ進んでください。

レジストリを編集するには:


注意: システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「 レジストリのバックアップ方法 」をお読みください。


    1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。[ファイル名を指定して実行] ダイアログボックスが表示されます。

    2. regedit と入力し、[OK] をクリックします。レジストリ エディタが開きます。

    3. 次のレジストリキーを選択します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunOnce

    4. 画面右側で、次の値を削除します。

    Kernel32 kernel32.exe


    注意:Kernel32 という値は、ワームが追加する値として最もよく使用される値ですが、追加されるのはその値だけとは限りません。場合によっては、上記の場所以外の場所に追加されている可能性もあります。この値の検索と削除作業を行うだけでなく、システムの完全スキャンを実行したときに検出された感染ファイルを参照する値も探し、発見した場合は該当する値をすべて削除してください。



    5. [レジストリ] - [レジストリエディタの終了] をクリックします。

    6. コンピュータを再起動します。

    7. すべてのワームファイルが削除されたか確認するために、Norton AntiVirus を使ってシステムの完全スキャンを再度実行します。

検疫したファイルの処理
Norton AntiVirus で検出された感染ファイルを削除せずに検疫場所に隔離していた場合の処理方法については、"
検疫済ファイルの対処方法 "をご覧ください。

Windows Me/XP のシステムの復元オプション


Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に Restore フォルダ内のリスクが検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

注意: 駆除作業が完全に終わり、リスクが駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。


システムの復元機能についての詳細および別の無効化方法については、
Microsoft Knowledge Base article :_RESTORE フォルダ にウィルスが発見された場合の対応方法について ID: Q263455 をご覧ください。

記述: Peter Ferrie