SirCam

大量のメールを送信するワームです。

添付ファイルによって感染します。送られてくるメールの本文は、英語か、またはスペイン語なので、日本人にとっては幸い、怪しいメールであることがすぐにわかると思います。

また、ネットワークフォルダ経由での感染もあるそうなので、ネットワークが構築されている環境ではさらに注意が必要です。

Windows 系の OS に感染しますので、Windows 98/Me/NT など、すべての Windows コンピュータが注意する必要があります。

電子メールに添付されたファイルによる感染と、ネットワークフォルダからの感染の２通りがあります。

添付ファイルによる感染

*.LNK、*.PIF、.*BAT、*.COM、*.EXE といった拡張子のついた添付ファイルがメールで送られてきます。その添付ファイルを開いてしまうことで感染します。

なお、添付されるメールは、英語か、またはスペイン語でメッセージが記述されます。また、メールの件名には、添付されてくるファイルの拡張子を除いたのもが充てられています。

ネットワークフォルダからの感染

書き込み可能な状態でネットワーク共有がなされていると、その共有フォルダの Recycled フォルダに SirC32.exe がコピーされる可能性があります。

そして、autoexec.bat があるとそのエントリに @win \recycled\sirc32.exe という行が追加されるため、起動時にこのファイルが参照されるような環境の場合は、自動的にウィルスが起動されます。

また、共有フォルダ内に Windows という名前のフォルダがあった場合には、RUNDLL32.EXE を RUN32.EXE に名前を変更したあとで、ウィルスプログラムを RUNDLL32.EXE という名前で保存します。

これによって、RUNDLL32.EXE に依存したプログラムが起動することで、すりかえられたウィルスプログラムが起動してしまいます。

このウィルスに感染すると、システムフォルダに SCam32.exe、SCD.dll、SC??.dll というファイルが作成され、また、C:\Recycled フォルダに SirC32.exe というファイルが作成されます。

レジストリを編集して、Windows の起動時に自動的にウィルスが起動するように設定します。また実行可能ファイル [*.exe] を実行した際にウィルスを自動的に起動するように設定します。また、活動状況を保存するために HKEY_LOCAL_MACHINE_Software\SirCam というキーも用意します。

そしてウィルスが起動されると、ローカルドライブ内のアドレス帳や HTML ファイルなどから電子メールアドレスを取得し、そのメールアドレスに対して自分自身を添付したメールを送信します。

その際の添付ファイルは、ウィルスプログラムに 「マイドキュメント」 フォルダから無作為に抽出された *.DOC、*.XLS、*.ZIP ファイル１つを混ぜた形で作成されます。

添付ファイルを開かない

当然の自衛策とも言うないようですけど、とりあえず知らない人から、また知っている人からでも、不明確な添付ファイル （特に実行可能なもの） は開かないようにします。

また、ウィルスチェックのソフトを持っている場合には、安全そうであっても、添付ファイルを開く前にチェックをするのもいいでしょう。

共有フォルダの停止

必要のないファイル共有が設定されている場合は、ファイル共有を解除します。そうすれば、ネットワーク経由で感染してしまうことはなくなります。

また、ファイル共有が必要である場合でも、書き込み禁止に出来るものはして、そうでない場合でも書き込み時にはパスワードを必要とするか、書き込みできるユーザを制限するなどの方法で、ある程度は食い止めることが可能です。

• 【TRENDMICRO】 ウイルス情報