メモ

2001/02/13 AM9:20 下記のようなメールを仕事仲間から受信した。

件名： Here you have, ;o)
本文： Hi; check This!
添付文書： AnnaKournikova.jpg.vbs

添付文書は空色のS字のペーパースクロールのアイコンがついている。実はg.vbsは....となってみえなかったが、よからぬプログラムが潜んでいるあやしいファイルとにらんですぐに削除した。

添付書類をクリックした人がいて彼のOutlookのアドレスに登録されている人全員に同じメールが送られてたもの。AnnaKournikova.jpg.vbsは別名「VBS_KALAMAR.A」、「VBS.Lee-o」、「VBS.OnTheFly」とも呼ばれ、VBスクリプト型のワームで、WSHがインストールされているWindows環境で動作する。昨年5月に発生し大きな話題となった「VBS_LOVELETTER」(Memo Serial No.428)と同様、Microsoft Outlookを利用してワームプログラム自身をアドレス帳に登録されている宛先全員 に自動的に送信し、感染を広げてゆく。他のファイルへの感染活動は行わないが、一人が添付ファイルをクリックすると大量にメール配信される危険があるため、メールサーバのダウン等の被害も考えられる。一旦感染した場合は感染ファイルを削除するだけでなく、ゼロバイトのファイルやレジストリーキーも削除しなければならない。

新種ウイルス警報VAC（Virus Alert Code）は感染力・破壊力などから脅威度を１〜5までのレベ ルで表示しているが、VAC-２指定。VAC-１が最も脅威度が高い。

添付ファイル名「AnnaKournikova.jpg.vbs」の「AnnaKournikova」とは有名なテニスプレーヤーの名前である。メール件名の絵文字や添付ファイル名から、疑いなく添付ファイルをクリックしてしまうケースがあると考えられる。実行時にシステム日付が1月26日だった場合、インターネ ットに接続し、オランダのコンピュータショップのWebサイトを表示しようとする。このサイトは表示しても害はない。
VBスクリプト型は Visual basic Script (VBS)でプログラムされている。ファイル名の最後に.vbsが付いているのですぐわかる。しかしAnnaKournikova.jpg.vbsのように長い名前の場合、.vbsが表示されず、手前の.jpgでだまされやすい。ただアイコンがVisual basic Script であることを示しているのでこれを覚えているとだまされにくい。

VBS_KALAMAR.Aウイルスは発信されて１日以内に世界に広まったためプロバイダー担当者が最新のウィルス定義をインストールする数分前に私にとどいてしまったらしい。

PCにはNortonをインストールしていたが、このワーム対策を含む最新12日付け定義ファイルにアップデートしたのは受信後であった。

ところでLiveUpdateしてもウイルス定義が最新でないにもかかわらず「LiveUpdataはシステム上の製品がすでに最新であると判断しました」と表示される。シマンテックHPのFAQの指示にしたがい、Virus Defsをデスクトップに移動してLiveUpdateしたが、うまくゆかない。Intelligent　Updateをしてアップデートできるが、LiveUpdateはできない。Regsvr32 "c:\program files\norton antivirus\navlucbk.dll"によりウイルス定義の更新プログラムの初期化を行って初めてうまく行った。毎週アップデートしよう。休み開けがあぶない。