Funlove ウイルスの感染能力も持つ Bridex ワームに注意

Windows の既知の脆弱性を狙う Eメールワーム『Bridex』が見つかった。オンラインセキュリティ会社 F-Secure は、同ワームが『Funlove』ウイルスの変種感染能力も持ち合わせていると警告を出した。

Bridex ワーム (別名 Braid、W32/Braid@mm、W32/Braid.A-mm、I- Worm.Bridex) はメール感染型で、README.EXE ファイルを添付した題名無しの Eメールで感染を広げるという。

同社はセキュリティ警告で、Bridex ワームが起動すると、Windows のシステムフォルダに REGEDIT.EXE というファイル名で自分自身をコピーし、起動時に実行するようシステムレジストリを変更すると述べている。

その後同ワームは Microsoft Outlook のアドレス帳を読み、中のメールアドレスに感染メールを送付する。同ワームは Visual Basic で作成したもので、Internet Explorer モジュールの IFrame バグを利用しており、同脆弱性の対策を施していないコンピュータ上では、自動的に活動を開始する。同ワームはデスクトップ上に EML ファイルを作成し、そのうえわずかに変更を加えた Funlove ウイルスにも感染させる。

IFrame 問題は、frame や iframe (インラインフレーム) 要素を含んだ HTML ページでは IE のセキュリティ設定が効かずに、スクリプトの実行が可能になるというもの。すでに Microsoft は 修正プリグラムを公開している。

なお FunLove ウイルスに感染すると、MSCONFIG.EXE ファイルの先頭部分がウイルス感染コードに書き換わるため、ファイルを削除してバックアップから復旧する必要があるという。

F-Secure によると、Bridex ワームがデスクトップに EXPLORER.EXE というファイル名で自分自身のコピーを作成することも明らかになっており、感染状態から回復するには、同ワームがデスクトップ上に作成する EXPLORER.EXE と HELP.EML を含めたすべてのファイルをはじめ、Funlove ウイルスの感染元となる BRIDE.EXE や MSCONFIG.EXE はもちろん、感染した全実行ファイルを削除する必要があるとしている。