2001年11月23日に英国を中心に感染が拡大している「W32/Badtrans.B」ワーム。その勢いは収まる気配を見せていない。本誌にも2001年11月26日から断続的にウイルス付きメールが届くようになった。4日たった本日(11月29日)もなお増える一方で,収束する気配はない。11月23日以降,パソコンのウイルス・チェックをしていない人は,パタン・ファイルを最新版にし,ウイルスが潜んでないか即刻チェックすべきである。

 Badtrans.Bが悪質なのは,メールを開いたり,プレビューしただけで感染する点。W32/Nimdaウイルスで使われたのと同様に,「不適切なMIME ヘッダが原因でInternet Explorerが電子メールの添付ファイルを実行する (MS01-020) 」というInternet Explorer(IE)のバグを突いて,ワーム・プログラムを自動実行する。このバグはIE5.01および5.5にある。各バージョンのService Pack 2を適用するか,IE6にアップグレードすると回避できる。ただし,IE6を最小構成でインストールした場合はこのバグが除かれないので注意が必要である。

 感染は電子メール経由のみ。受信ボックスにある未読メールをチェックし,その差出人にウイルス付きメールを送る。また,Personalという名前のついたマイドキュメント・フォルダやInternet ExplorerのCacheフォルダ内を調べ,「*.ht*」および 「*.asp」ファイルに保存されているメール・アドレスを探し,発見したメールアドレスすべてに電子メールを送りつける。メールの件名としては3パターンある。(1)「Re:」 のみ,(2)先頭に「Re:」 が付く以前に送ったメールの返信の件,(3)空の件名である。

 さらにトロイの木馬としても働く。ユーザ名,パスワードなどの情報を外部に流出させる機能を持つ。ウインドウのタイトルがLOG~(例:LOGON),PAS~(例:PASSWORD),TER~(例:TERMINAL)などのウインドウを監視して,60秒間キーボード入力を記録する。そして,その内容を特定のメール・アドレスに送信する。これにより,Terminal ServerやRASのパスワードを盗み出す。

(中道 理=日経バイト)