Gigger に関する情報
公開日: 2002年1月16日
トピック
はじめに
詳細
Gigger の影響を受ける恐れのある弊社製品
本ワームへの対策
はじめに
MSN や、Microsoft Outlook に関連する情報と偽って感染活動を行う Gigger と呼ばれるワームが報告されております。(別名にJS_GIGGER.A、JS.Gigger.A@mm等があります) 弊社では実際の被害報告を受けておりませんが、お客様の環境をより安全に保つことを目的として、本情報を公開いたします。
本ワームに感染すると、ハードディスクをフォーマットすることによって、感染したコンピュータのファイルを消去します。また、以下の方法で感染を広げていくことが判明しています。
Microsoft Outlook、Microsoft Outlook Express を介した感染活動
mIRC を介した感染活動
mIRC は弊社製品ではありません。この製品は、チャットを行う時に使用するアプリケーションになります。
また、以下の Web サイトにて本ワームに関する情報が公開されておりますので併せてご参照ください。
株式会社シマンテック
https://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2002-011011-3021-99トレンドマイクロ株式会社
https://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_GIGGER.Aマカフィー株式会社
https://www.mcafee.com/japan/security/virG.asp?v=JS/Gigger.a@MM
詳細
本ワームに感染すると、Outlook アドレス帳に登録されている全員に対して自分自身のコピーを送信し、感染活動を行います。また、mIRC アプリケーションを使用している他のマシンにも感染しようとします。コンピュータに感染後、Autoexec ファイルにC ドライブをフォーマットするための一行が追加されます。また、現在アクセスしているネットワークシェアにも自分自身をコピーします。
本ワームがメールで送信される場合、下記の形式になります。
件名 : Outlook Express Update
本文 : MSNSofware Co.
添付ファイル名 : Mmsn_offline.htm
もしくは
Subject: Outlook Express Update
Message: MSNSofware Co.
Attachement: Mmsn_offline.htm
注意 !!
件名や差出人に、 MSN、Outlook とあるため、MSN から送付された Outlook に関連するメールである印象を受けますが、本メールは弊社から発信されたものではありません。添付のファイルは、Outlook Express Update (修正プログラム) ではなく、ワームであるため、実行せずに破棄をお願いします。
Gigger の影響を受ける恐れのある弊社製品
Microsoft Outlook
Microsoft Outlook Express
本ワームへの対策
本ワームへの対策方法としては、上記のメールが送信された場合には、添付ファイルを実行せずにこのメールを消去してください。添付ファイルを実行しない限り、ワームが感染することはありません。
なお、ワームに感染してしまった場合には、下記の方法で対応を行ってください。
Autoexec.bat ファイルの修正
本ワームに感染すると、Autoexec.batファイルに下記の一行が追加され、次回起動時にドライブがフォーマットされます。
そのため、下記の一行を削除してください。
削除方法
[スタート]-[ファイル名を指定して実行] で、下記を入力してメモ帳を起動します。
notepad c:\autoexec.bat
注意 : C:\ は、インストール先のドライブです。通常上記で問題ありませんが、他のドライブにインストールした場合は、適宜変更を行ってください。
下記の一行が追加されている場合は、削除してください。この場合、他の項目を削除しないよう気をつけてください。
[ファイル]-[上書き保存] を選択して変更を保存し、[ファイル]-[終了] から、メモ帳を終了させてください。
ウイルスファイルの削除
本ワームが感染すると、下記のファイルが作成されます。これらのファイルを削除してください。
C:\B.HTM
C:\BLA.HTA
C:\WINDOWS\help\mmsn_offline.htm
C:\WINDOWS\SAMPLES\WSH\Charts.js
%ドライブ文字%\Start Menu\Programs\StartUp\msoe.hta (ネットワークドライブ)
レジストリの削除
本ワームが感染すると、下記のレジストリが作成されます。このレジストリを削除してください。
HKEY_LOCAL_SYSTEM\Software\Microsoft\Windows\CurrentVersion
\Run\NAV DefAlert=C:\WINDOWS\help\mmsn_offline.htm
HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0
削除方法
警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要です。Microsoft は、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。
レジストリの編集方法の詳細については、レジストリ エディタ (Regedit.exe) のヘルプ トピック「キーと値の変更」、または Regedt32.exe のヘルプ トピック「レジストリ情報の追加と削除」と「レジストリ情報の編集」を参照してください。レジストリを編集する前にレジストリのバックアップを必ず作成してください。Windows NT または Windows 2000 を実行している場合、システム修復ディスク (ERD) も更新する必要があります。
HKEY_LOCAL_SYSTEM\Software\Microsoft\Windows\CurrentVersion\Run\ に存在する下記の項目を削除してください。
NAV DefAlert
HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0 を削除してください。
この対策方法は、各ベンダー様のご協力およびご好意にて記載しております。
なお、詳細については、各アンチウイルスベンダーの Web をご覧ください。