NAVIDAD ワームに関する情報
公開日: 2002年2月1日
トピック
はじめに
現在、NAVIDAD と呼ばれるワームが被害範囲を広げております。(別名に WORM_NAVIDAD.A, W32.NAVIDAD, W32/NAVIDAD 等があります)
このワームは以下の方法で感染を広げていくことが判明しています。
- E-Mailによる感染、拡大
本ワームは、製品の脆弱性を利用したワームではございません。メールに添付されている実行形式のファイルを実行することにより感染いたします。そのため、メールを受け取ったり、開いたりするだけで自動的に感染することはありません。 しかし、誤って添付のファイルを実行いたしますと、受信トレイにある全てのメールに対して自分自身を添付して返信します。
添付されるファイルのファイル名は、NAVIDAD.EXE となっております。
また、以下の Web サイトにて本ワームに関する情報が公開されておりますので併せてご参照ください。
株式会社シマンテック https://www.symantec.com/region/jp/sarcj/data/w/w32.navidad.html
トレンドマイクロ株式会社 https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NAVIDAD.A
マカフィー株式会社 https://www.mcafee.com/japan/security/virN.asp?v=W32/Navidad@M
本ワームへの対策に関する情報を以下に記載いたします。
本対応を行われていないお客様は、至急対応をお願いいたします。
NAVIDAD ワーム の影響を受ける恐れのある製品
Microsoft Outlook
Microsoft Outlook Express
注意 : Outlook, Outlook Exporess 以外にも MAPI を利用しているメールソフト(メールクライアント) は影響を受ける可能性があります。
本ワームへの対策
本ワームは、Outlook のソフトウェアの不具合を利用したのものではありません。従来のワームと同様に添付ファイルとしてメールで送られてきます。そのため、上記ファイルの添付されているメールの削除をお願いします。しかしながら、このファイルをお客様が実行しない限り問題になることはありません。
Outlook 2000 をお使いのお客様へ
Outlook 2000は、電子メール セキュリティ アップデートを行っていただくことで、本ワームの実行を防止できます。 電子メール セキュリティ アップデートをご利用いただくには、Office 2000 Service Release 1(SR-1)を最初に適用していただく必要がございます。詳しは、Outlook 2000 SR-1 アップデート: 電子メール セキュリティのページをご覧ください。
電子メール セキュリティ アップデート (更新版) は、Office Service Pack 2以降に公開されたため、Office 2000 Service Pack 2には含まれていない修正が含まれております。以前の電子メール セキュリティ アップデート、または Office 2000 Service Pack 2を適用されているお客様につきましても、必須ではございませんが適用をお勧めいたします。
Outlook 2002 (Office XP) をお使いのお客様へ
Outlook 2002 は、標準の状態で本ワームの実行を防止する機能があるため特にアップデートを行っていただく必要はございません。しかし、この機会にお客様の安全を守るためのアップデートの適用をご検討ください。
アップデート モジュール入手先
マイクロソフトが提供しているダウンロードサーバーから必要となるモジュールを入手する形でインストールを実施します。
Microsoft Office 2000 Service Pack 2 https://www.microsoft.com/japan/office/downloads/office2000sp2/
Outlook 2002 アップデート: 2001 年 10 月 4 日 https://office.microsoft.com/japan/downloads/2002/olk1004.aspx
Outlook 2000 SR-1 アップデート: 電子メール セキュリティ https://office.microsoft.com/japan/downloads/2000/out2ksec.aspx
本ワームに感染した場合の対処
ウインドウズのタスクバーから スタート>プログラム>MS-DOS プロンプトをクリックします。コマンドプロンプトがカレントディレクトリである、Windows ディレクトリを表示します。通常、下記のように表示されます。
C: \ WINDOWS>
ren REGEDIT.EXE REGEDIT.COM と入力します。
Enterキーを押します。
REGEDITと入力しEnterキーを押します。
下記のレジストリの値を変更します: HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile \ shell \ open \ command にある "C: \ WINDOWS \ SYSTEM \ winsvrc.vxd "%1" %* を下記の値に変更してください。 "%1" %* 正確には上記のキャラクタはすべて半角で、ダブルクォート、パーセント記号、数字の1、ダブルクォート、スペース、パーセント記号、アスタリスクです。スペースキーを忘れないでください。
次のレジストリキーを削除します: HKEY_USERS \ .DEFAULT \ Software \ Navidad
コンピュータをリスタートします。
エクスプローラを使用して、 \ \ Windows \ SYSTEM \ winsvrc.vxd ファイルを削除します。
W32.Navidad の駆除(Windows NT/2000)
ウインドウズデスクトップ上でマイコンピュータアイコンをダブルクリックします。
CTRL-F を押します。 ファイルとフォルダを検索ウインドウが現れます。これは特定のファイルを検索するのに使用します。
ファイルまたはフォルダの名前: フィールドに REGEDIT.EXE を入力します。
このファイルの検索が成功した後に、REGEDIT.EXE ファイルを右クリックします。ポップアップメニューが現れるので、名前の変更を選択します。
REGEDIT.COMを入力します。これにより、REGEDIT.COMに名前が変更されます。
REGEDIT.COMをダブルクリックします。
下記のレジストリの値を変更します。 HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command の値 "C: \ WINNT \ SYSTEM32 \ winsvrc.vxd "%1" %* を "%1" %* に変更します。正確には上記のキャラクタはすべて半角で、ダブルクォート、パーセント記号、数字の1、ダブルクォート、スペース、パーセント記号、アスタリスクです。スペースキーを忘れないでください。
下記のレジストリキーを削除します。 HKEY_CURRENT_USER \ Software \ Navidad
コンピュータをリスタートします。
エクスプローラを使用して、 \ \ WINNT \ SYSTEM32 \ winsvrc.vxd ファイルを削除します。
エクスプローラを使用して、 \ \ WINNT \ SYSTEM32 \ winsvrc.vxd ファイルを削除します。