2004年05月12日(水) 19時34分

IEやOEの脆弱性を悪用し、リンクをクリックするだけで感染するウイルス（impress Watch）

　トレンドマイクロは12日、Internet Explorer（IE）やOutlook Express（OE）の脆弱性を悪用するウイルス「Wallon.A」を警告した。トレンドマイクロでは危険度“中”と評価している。

　Wallon.Aはトロイの木馬型不正プログラムで、任意の宛先にHTML形式のメールを送信するマスメーリング型の感染活動を行なう。IEやOEの脆弱性を悪用し、メール本文中のリンクをクリックしただけで、ウイルスプログラムが実行され、感染してしまうのが特徴だ。12日現在、ドイツを中心としたヨーロッパや中東、アフリカ地域で流行が確認されているという。

　Wallon.Aのウイルスメールの本文部分には、URLが「http://drs.yahoo.com/＜受信者のドメイン名＞/NEWS」と表示されているが、実際にそのURLをクリックすると「http://www.security＜略＞-warning.biz/personal6/maljo24/www.YAHOO.com/」という悪意のあるWebサイトにリダイレクトされ、ウイルスプログラムがダウンロードおよび実行される仕組み。この際に、IEの脆弱性「MS04-004」とOEの脆弱性「MS04-013」が悪用されており、ユーザーが意図せずにウイルスが実行されてしまう。

　Wallon.Aに感染すると、「OLE error 8004010F.」と書かれたエラーメッセージが表示された後に自分自身をコピーし、レジストリを改変する。続いて、Windowsのアドレス帳を参照してメールアドレスを収集し、メールを送信する。送信するメールの内容は以下の通り。

送信者：＜ユーザアカウント＞

件名：Re:

本文：
　http://drs.yahoo.com/＜受信者のドメイン名＞/NEWS
　　250.2.6.0 Queued mail for delivery QUIT 221.2.0.0
　pdc.Fishinet.com Service closing transmission channel

　Wallon.Aに感染した場合、Windows Media Playerが上書きされてしまう可能性があるため、ウイルス対策ソフトでウイルス「Wallon.A」を駆除した後に、「アプリケーションの追加と削除」でWindows Media Playerを再インストールしなければならないという。

関連情報

■URL

　 Wallon.A

　 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_WALLON.A

■関連記事

・ 任意コードの実行が可能な脆弱性を含むOutlook Express用累積的パッチ（2004/04/14）

・ URLを偽装できる脆弱性を修正したIEの累積的修正プログラム公開（2004/02/03）

（ 大津 心 ）

2004/05/12 14:43（impress Watch）

http://headlines.yahoo.co.jp/hl?a=20040512-00000016-imp-sci