BADTRANS(WORM_BADTRANS.B)ウイルス対策

2001/12/3
私の周辺に感染者が多いので、対応策をまとめた。
最近ウイルスメールがしきりに入ってくるようになった。これについて知人から頼まれて、メールや電話で対応策を伝えているが、その頻度も多くなってきたので、ここ猛威を振るっているWORM_BADTRANS.Bについてまとめて整理した。(その他一般のウイルス対策にもなる)

通常言われている対応策は次のとおりであるが、いずれも完全では無いが、せめてどれか一つは採用すべきであろう。しかし対策を打っても万全ではないので安易に頼ることなく、常に注意し自衛する必要はある。

 

対 応 策

問  題  点
メールウイルスチェックソフトを入れる。 定義ファイルの更新を常にやらなければならない。
Windowsマシンでない機械にする。 使い慣れたマシンを変えることができるか。Macはコストパーフォーマンスの点と、増設・改造の自由度が小さい。
メールソフトにOutlookExpressを使わない。 言うは易しだが、使い慣れ・新しいソフトへの移植など上級者で無いと困難性あり。また接続設定を削除の要あり。
また加害者にはならなくとも、被害は受ける可能性あり。
ブラウザーにInternetExplorerを使わない。 現状ではいちばん簡単であるが、変更したブラウザにも、セキュリティホールはあるもので、そのための情報検索もマイナーなものは難しい。
メールウイルスチェックサービスに入る。 プロバイダーのメールサーバーでのウイルス除去に期待するものだが、私の経験ではすり抜けて来るものがある。

すでに感染し加害者になっているのは、Internet Explorer+Outlook Expressを使い、Internet Explorer に最新のパッチ(SP2)を当てずに使い、ウイルスチェックソフトを入れていないか、入れていても定義ファイルの更新を怠っていたからで、感染マシンの対策手順は次の通り。(感染していないマシンの予防処置は1.のみ)

  1. IEに最新のパッチを当てる(全てのウイルスに有効)NEW !!
    2001/12/26に調べたところ、すでにMS社はIE5.5以前のバージョンについては、修正パッチを出さなくなっている。言い換えればIE5.01を含みそれ以前の物はセキュリティ的にはノーガードだと言うこと。
    従って、IE5.5またはIE6をインストールし、最新のパッチを当てす必要がある。(IE6には初期バグがあるのでお勧めはIE5.5 SP2+最新のパッチ当て)
    IE5.5 SP2は、MS社ホームページからダウンロードすれば一挙にSP2までアップグレードできる。
    http://www.microsoft.com/japan/ie/
    さらにその後発見されたセキュリティホール対策にはここからインストールすること。
  2. 感染しているファイルの修復(BADTRANSの場合のみ)
    1) ウイルスチェックソフトが入っていれば、最新の定義ファイルに更新しスキャンする。
    2) ウイルスチェックソフトが入ってなければ、ここからウイルスがマシン内に作ったプログラムの修復をが出来る。
    http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368
    3386FixBADT.EXE をダウンロードし、実行すれば修復してくれる。
  3. メールのリストからウイルスメールを削除する
    上記処置により新たには感染しない状態になったので、メールソフトを起動し、ウイルスメールをすべて削除する。(件名にRe:となっているもの、差出人の先頭にアンダーバーがついているものなど)
  4. Outlook Expressを使う人は設定を変えておく
    Outlook Express の「ツール」「オプション」「読み取り」から「プレビューウィンドウで表示するメッセージを自動的にダウンロードする」のチェックを外しておくこと。
  5. WINDOWS-Meの場合
    Meの場合には自動バックアップをするので、上記修復ではバックアップ中のウイルスは削除できない。バックアップを切ってから修復する必要がある。方法は次の通り
    1. デスクトップ上の「マイコンピュータ」のアイコンに、ポインタを指し、右クリック。
    2. 「プロパティ」を選択。
    3. 「システムのプロパティ」の「パフォーマンス」タブをクリックし、画面を切り替える。
    4. 「詳細設定」の「ファイルシステム」のボタンをクリック。
    5. 「ファイルシステム」の「トラブルシューティング」タブをクリックし、画面を切り替える。
    6. 「システムを復元しない」のオプションをクリックしてチェックを付ける。
    7. 再起動するか聞いてくるので、[はい]をクリックし、リスタートする。これでシステムの復元オプションが無効になり、システムが再起動される時に_RESTOREフォルダの内容が破棄される。

      備考:駆除ツールの実行が終わったら、上記の手順1-7を再度行う(ただし手順6ではチェックを外す)ことで有効な状態に戻してください。

これで身奇麗になるが、この状態でウイルスメールが入着した時メールの件名を選択するだけでは感染しないだけで、ダウンロード(今回のものをBeckyで受信したとき)を促すが、思わずハイをクリックすると感染するので注意。(OEの場合はどのように挙動するか不明なれど、選択するだけでは感染しないので、なにが出ても)無視して削除すること。

SP2を入れることで、この他にも最近流行し始めたウイルスにも自動的に感染することは防げるが、一般論として、件名や添付ファイルなどから判断し不審なメールは、絶対に開かずに差出人に確認すること。

初心者は身奇麗にした上で、ウイルスチェックソフトを使うのがいちばん簡単、ただしネット接続時にはメールを見る前に定義ファイルを更新する位の覚悟が必要。
私の経験事例と友人たちの勘違い事例、注意事項など
  • プロバイダーのメールサーバーでのウイルスチェック
    プロバイダーでメールサーバーでウイルスチェックをしてくれるところがあるが、このウイルスは素通しであった。(100%あてにはならない)
    プロバイダの名誉のために:    その後ウイルスメールをこのサーバーを通して自分に転送したところ、添付ファイルはBADTRANSなので削除したと言うメッセージが付いて添付ファイルの無いメールが到着したので役には立っている。(でも素通しで来るメールも続いている)
  • Trendmicro社のOnline Scan
    これもウイルスメールを受信しただけでは、(今回のものは)ウイルスとして検出しない。誤ってウイルスを実行してしまうと検出する。(感染後は検出する)
  • ウイルスは自分でメールを出し、記録を残さない。
    自分がメールを発信し、そのメールにウイルスが付いていないと安心する人がいるが、このウイルスは自分でメールを送信し、送信記録を残さないので、この方法では確認できない。
  • 発信元
    発信元には感染した人の本来のメールアドレスの先頭に _ (アンダーバー)をつけたものか、架空のアドレスが使われる(架空のアドレスは15種類くらい発見されている)アンダーバーがついている場合には、発信元=感染者が分かるが、身に覚えが無いのでアドレスを騙られたと勘違いする場合がある。間違いなく感染していると思うべき。
  • ウイルスチェック
    ウイルスチェックで掛からないと言う場合には、定義ファイルが最新になっていない事が多い。常に最新の定義ファイルに更新することが肝要。
  • Outlook Express以外のメーラーの場合
    このウイルスはOutlook Expressを使っていないと、自分からウイルスの付いたメールを発信することは無い。(被害者にはなり得ても、加害者にはならない)しかしながら、感染するとファイルが消失した例がある。感染していればTrendmicro社のOnline Scanで検出でき、上記同社のWEBから修復できる。
  • Becky使用の場合
    メーラーにBeckyをデフォルトの状態で使っていると、このメールを選択した時点で「ファイルのダウンロードが選択されました・・・」とダウンロードをするかどうか尋ねてくる。ここでダウンロードを選択すると感染する。「キャンセル」を選択して削除すること。
    これを防ぐには、HTMLメールの表示でMSIEコンポーネント使用しないように設定すれば出なくなる。
    また、ウイルスチェックソフトを使用するときにはここを参考に設定しないと、メールが無くなる事があるので注意。
  • 感染者が自覚しない
    感染者は自分がウイルスメールを出していることを自ら知るすべが無い。従ってアンダーバーがアドレスに先頭について、件名がRe:のメールを受け取ったら、アンダーバーを外してその人にウイルスに感染していることを知らせ、直ちに対策をとって貰わないと被害範囲が拡大する。
  • メーラーの変更時の注意
    Outlook Expressから他のメーラーに変えた場合、使わなくなったOEのメーラー接続設定(POP,SMTP)をそのままにしているケースがあるが、このウイルスはそれを利用しないが、他のウイルスは(例えばMagistrなど)はそれを利用するので、削除空欄にしておく必要がある。削除方法はOutlook Expressを出して、「ツール」「アカウント」の「メール」タブから設定しているアカウントを選択し「削除」ボタンで削除できる。
  • Outlook Expressのアドレス帳
    OEのアドレス帳の記載をすべて削除して対策にした人がいるが、このウイルスはOEのアドレス帳は利用しないので効果なし。未読メールの送信者アドレスやその他のところから取得する。(もちろん利用するウイルスも多いので、その意味では有効ではあるが)他のメーラーに乗り換えた時には削除しておくこと。
一般論としてのウイルス対策
  • 怪しいメールが来た時
    メールの表題が英文・文字化け、添付ファイルが付いている、本文が英文等など「怪しい」と思ったらさわらないこと。(直ちに削除が良いが)本文に記載が無い添付ファイルは絶対に開かないこと。ウイルスは侵入したマシンのアドレス帳を利用するものが多いので、知人からのメールと安心して開き感染する人が多い。知人なら添付ファイルを送ったかどうかメールで尋ねて処置する。
  • ウイルスの調査
    耐ウイルスソフトをインストールしていれば、そのソフトが対応していれば(ワクチン=定義ファイルが対応していれば)ウイルス名を知ることが出来る。無い場合にはウイルス関係の情報を丹念に見て推測するしかないがその場合の情報源はここ。
    http://www.symantec.co.jp/
    http://www.ipa.go.jp/security/index.html
    http://www.trendmicro.co.jp/virusinfo/newsindex.htm
  • メーラーかブラウザを変える
    Internet Explorerを変えるか、Outlook Expressを変えればそうとうの確率で被害者=加害者にはなり難くなる。
  • 注意!Becky使用者

    「ツール」−「全般的な設定」 「メール表示」タブ「HTMLメールの表示」で「MSIEコンポーネントを使用」「HTMLを優先的に表示」の二つのチェックを外して使用の事。

    アンチウイルスソフトを入れると、Becky!が使用中のファイルがアンチウィルスソフトによってロックされ、Becky!のデータの整合性が崩れデータがなくなってしまうことがある。
    複数のアンチウィルスソフトで同種の現象が起きているようで、けっきょくアプリケーション(この場合はBecky!)の動作を横取りすることによる、現在のアンチウィルスソフトの制限とも言える。
    この場合の対策は、データフォルダ(初期状態ではC:\Becky!以下のフォルダ)を常時監視から除外
    <テンポラリフォルダ>\B2Temp\Folder.tmpも除外
    この件について、2001/12/18のバージョンアップで修正されました。
  • ウイルス情報による最新のパッチ当て
    耐ウイルスソフトでも最新の定義ファイルに更新しないと無力になると同様に、ブラウザ、メーラーも常に最新のパッチを当てておく。