Lirva に関する情報

公開日: 2003年1月10日

トピック

はじめに

Lirva ウイルスの影響を受ける可能性のある製品

本ウイルスへの対策

はじめに

Lirva と呼ばれるコンピュータウイルスが発見されました。このウイルスは、既にいくつかの亜種が報告されおり注意が必要です (名称は各アンチ ウイルス ソフトウェア ベンダーで異なります。 トレンド マイクロ WORM_LIRVA.A、WORM_LIRVA.C、シマンテック W32.Lirva.A@mm、W32.Lirva.C@mm、ネットワーク アソシエイツ W32/Lirva.a@MM )。現在のところ、以下の方法で感染を広げていくことが判明しています。

  • E-Mail による感染、拡大

  • ICQ メンバリストに登録されているメールアドレスにウイルスを送信

  • IRC チャネルに接続し、ユーザが参加しているチャネルに参加している他のユーザにワームを送信

  • P2P ファイル共有システムである「KaZaA」を利用してウイルスを頒布

  • 共有ドライブにウイルス自身をコピー

Lirva ウイルスは、マイクロソフト セキュリティ情報 MS01-020 に記載されている脆弱性を悪用して、Outlook や Outlook Express のプレビューウィンドウにメッセージを表示させるだけで自動的に感染します。その他にも、ネットワークドライブへファイルコピー、ICQ、IRC のメッセージの添付ファイル、P2P ファイル交換でダウンロードしたファイルにまぎれて侵入する場合もあります。

感染すると、自分自身をディスク上にコピーし、各種ファイルに記録されているメールアドレスを収集し、自分自身のコピーを添付したメールを大量に配信しようと試みます。 その他にも感染活動として、以下の動作を試みます。

  • 上記に記載した感染ルートに対してウイルス自身の頒布

  • ウイルス対策ソフトの停止

  • パスワードの搾取

  • 7 日、11 日、または 24 日の場合、ブラウザで www.avril-lavigne.com というサイトを開き、Windows デスクトップに動画を表示

  • 幾何学図形がスクリーン上に表示され、デスクトップの一番手前に常駐する。

  • バックドアプログラムのインストール

マイクロソフトでは、お客様が本ウイルスによる被害を受ける前に、その危険性をご理解いただくために情報を作成いたしました。本ウイルスに関する理解を深めていただき、仮にご自身がウイルスを添付したメールを受信してしまった場合でも、あわてずに対処してください。

本ウイルスで悪用しているセキュリティ問題の対応が行われていない場合、ウイルスによる被害を受ける事があります。 セキュリティ情報 MS01-020 の対処を行っている場合には自動的に感染する事はありませんので、メールの内容を判断して削除を行ってください。セキュリティ問題の対策につきましては、下記の本ウイルスへの対策を参照ください。

一般的に、大きな被害を出したウイルスは、被害をより大きくする目的で変更をされた亜種によって、更なる被害を引き起こす事があります。本情報は現在確認されているウイルスに対応したものですので、アンチウイルスソフトウェアベンダーより最新情報を常に受けられる準備をしておく事をお勧めします。

このウイルスが送信するメールは次の通りです。

件名 (次のリストから選ばれます)

  • Fw: Redirection error notification

  • Re: Brigada Ocho Free membership

  • Re: According to Purge's Statement

  • Fw: Avril Lavigne - CHART ATTACK!

  • Re: Reply on account for IIS-Security Breach (TFTP)

  • Re: ACTR/ACCELS Transcriptions

  • Re: IREX admits you to take in FSAU 2003

  • Fwd: Re: Have U requested Avril Lavigne bio?

  • Re: Reply on account for IFRAME-Security breach

  • Fwd: Re: Reply on account for Incorrect MIME-header

  • Re: Vote seniors masters - don't miss it!

  • Fwd: RFC-0245 Specification requested...

  • Fwd: RFC-0841 Specification requested...

  • Fw: F. M. Dostoyevsky "Crime and Punishment"

  • Re: Junior Achievement

  • Re: Ha perduto qualque cosa signora?

メッセージ本文 (次のリストから選ばれます)

  • Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date

  • Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch

  • Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below

  • Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK!

  • AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:> SO: First, Vote on TRL for I'm With U! Next, Update your pics database! Chart attack active list .>.>

  • Orginal Message:

添付ファイル (次のリストから選ばれます)

  • Resume.exe

  • ADialer.exe

  • MSO-Patch-0071.exe

  • MSO-Patch-0035.exe

  • Two-Up-Secretly.exe

  • Transcripts.exe

  • Readme.exe

  • AvrilSmiles.exe

  • AvrilLavigne.exe

  • Complicated.exe

  • TrickerTape.exe

  • Singles.exe

  • Sophos.exe

  • Cogito_Ergo_Sum.exe

  • CERT-Vuln-Info.exe

  • Sk8erBoi.exe

  • IAmWiThYoU.exe

  • Phantom.exe

  • EntradoDePer.exe

  • SiamoDiTe.exe

  • BioData.exe

  • ALavigne.exe

  • <ランダム>.TXT

  • <ランダム>.DOC

弊社 STPP パートナー企業である以下 3 社の Web サイトにて、本ウイルスに関する詳細な情報が公開されておりますので併せてご参照ください。

本ウイルスへの対策に関する情報を以下に記載いたします。

ページのトップへ

Lirva ウイルスの影響を受ける可能性のある製品

  • Microsoft Outlook

  • Microsoft Outlook Express

ページのトップへ

本ウイルスへの対策

本ウイルス (ワーム) は Internet Explorer の脆弱性を悪用して感染活動を行います。そのため、この脆弱性を修正するための対策が必要になります。また、Outlook 電子メール セキュリティ アップデート または Outlook Express の設定変更により本ウイルスの感染を防止することも可能です。

Internet Explorer についての対策

  • Internet Explorer 5.5 Service Pack 2 (SP2)、Internet Explorer 6、6 Service Pack 1 (SP1) をご利用のお客様

    修正プログラムを適用してください。修正プログラムは下記のサイトからダウンロードできます。

  • 上記以外のバージョンの Internet Explorer をご利用のお客様

    上記以外の Internet Explorer をご利用のお客様は、本ウイルスが悪用する脆弱性の影響を受ける可能性があります。そのため、早急に Internet Explorer 6 SP1 にバージョンアップすることを強く推奨します。Internet Explorer のバージョンアップが完了後、上記 Internet Explorer 6 Service Pack 1 (SP1) をご利用のお客様」 を確認のうえ、最新の修正プログラムをインストールしてください。

    Internet Explorer のバージョンの確認方法はこちらをご覧ください。

Outlook 2000 をお使いのお客様へ

Outlook 2000 は、電子メール セキュリティ アップデートを行っていただくことで、ウイルスの実行を防止できます。 電子メール セキュリティ アップデートをご利用いただくには、Office 2000 Service Release 1(SR-1) を最初に適用してください。詳しは、Outlook 2000 SR-1 アップデート: 電子メール セキュリティのページをご覧ください。

Outlook 2002 (Office XP) をお使いのお客様へ

Outlook 2002 は、標準の状態でウイルスの実行を防止する機能があるため特にアップデートを行っていただく必要はありません。しかし、この機会にお客様の安全を守るためのアップデートの適用をご検討ください。

Outlook Express 6 をお使いのお客様へ

Outlook Express 6 では、ウイルス防止方法を使用することによって、本ワームの実行を防止できます。下記の弊社サポート技術情報(KB)をご覧ください。

アップデート モジュール入手先

マイクロソフトが提供しているダウンロードサーバーから必要となるモジュールを入手する形でインストールを実施します。

ページのトップへ