マイクロソフトは11月15日,悪質なプログラム(ウイルス)を検出して削除する「悪意のあるソフトウエアの削除ツール」の新版を公開した。新版では「Brontok」に対応。ダウンロードセンターやMicrosoft Update,自動更新機能などから利用できる。対応OSはWindows XP/2000/Server 2003。
今回の新版バージョン1.22で対応された「Brontok」(亜種を含む)は,メールやUSBメモリーなどを経由して感染を広げるウイルス。単独の実行形式ファイルであるBrontokを実行すると,パソコン中から収集したアドレスあてにBrontokを添付したメールが送信されるとともに,パソコン中のフォルダ(USBドライブを含む)にBrontokがコピーされる。
Brontokの特徴は,フォルダに自分自身をコピーする際,そのアイコンを新規フォルダに見せかけること。新規フォルダの中身を見ようとしてアイコンをダブルクリックすると,Brontokが実行されることになる。そのとき,ユーザーに偽装を気づかれないように,Brontokは実際に新規フォルダを作成して開く。
Windowsのデフォルト設定では,実行形式ファイルの拡張子は表示されないので,ファイル名の表示からアイコンの偽装に気づくことは難しい。ユーザーが「フォルダ オプション」の「表示」設定を変更してすべての拡張子を表示させるようにしている場合でも(「登録されている拡張子は表示しない」のチェックをはずしている場合でも),Brontokはその設定を元に戻して,拡張子が表示されないようにする。
加えて,ユーザーが設定を変更できないように,「フォルダ オプション」にアクセスできないようレジストリを変更する。さらに,レジストリエディタを使えないようにレジストリを変更する。
そのほか,実行されたBrontokは動作中のセキュリティ・ソフトを停止したり,Windowsを再起動したりする。特定のWebサイトに対してICMP Echoリクエスト(ping)を多数送信してDoS(サービス妨害)攻撃を仕掛ける“機能”もある。
Brontokを添付して送られるメールの内容はさまざま。件名や本文に何も書かれておらず,Brontokのコピー(ファイル名はkangen.exe)だけが添付されているものもあれば,政治的なメッセージを含むものや,写真が添付されているとするものなどがあるという。後者の場合,添付されているファイル名は「Sample Picture.zip」や「photo.zip」など。Brotokの実体は,これらの圧縮ファイルに含まれている。いずれの場合でも,メールの送信者名(Fromヘッダー)は偽装されている。
・悪意のあるソフトウエアの削除ツール (KB890830)
・悪意のあるソフトウエアの削除ツール
