ウイルス情報

ウイルス名 危険度

W32/Braid.a@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4232
対応定義ファイル
(現在必要とされるバージョン)
4234 (現在7634)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-worm.Bradex (AVP), I-Worm.Bridex (AVP), PE_BRID.A (Trend), W32/Braid@MM, W32/Brid.A@MM, Win32/Brid.A@MM
情報掲載日 02/11/05
発見日(米国日付) 02/11/04
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
このウイルスには、4232定義ファイルで対応いたします。4232定義ファイルは02/11/07に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

概要

TOPへ戻る

ウイルスの特徴

  • このウイルスはメディアに注目されているため、危険度を "低 [要注意]" にしました。

  • この大量メール送信型ウイルスは、自身の SMTP エンジンを使用してローカルシステム上にあるアドレスに自身を送信します。また、実際の送信者のアドレスを偽装するように作成されており、そのメッセージを読むと Internet Explorer の脆弱性を利用してウイルスが実行されます。またこのウイルスは、共有ネットワーク上に繁殖するファイル感染型ウイルスを落とし込みます。

  • このウイルスは、次のような電子メールメッセージで届きます。

    送信者送信者のコンピュータに登録されたWindowsのユーザ名
    件名送信者のコンピュータに登録されたWindowsの会社名
    本文Hello,

    Product Name: Microsoft Windows %version of Windows on the infected sender's system%
    Product Id: %Windows ID on the infected sender's system%
    Product Key: %Windows key on the infected sender's system%

    Process List:
    %processes running on the infected sender's system%

    Thank you.

    添付ファイルREADME.EXE

  • このウイルスは Microsoft Internet Explorer (SP2なしのver 5.01または 5.5)の不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020) という脆弱性を利用しています。脆弱な Outlook のクライアントで電子メールメッセージを読むだけで、このウイルスは実行されます。定義ファイル 4213 (またはそれ以上)を使用したゲートウェイ製品では、Exploit-MIME.gen. または Exploit-MIME.gen.exe として検出されます。

  • このウイルスが実行されると、WINDOWS SYSTEM (%SysDir%)ディレクトリに REGEDIT.EXE として自身をコピーして、システム起動時に自身を読み込むようにレジストリ実行キーを作成します。(注:WINDOWS ディレクトリには、有効な REGEDIT.EXE も存在します)

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ regedit=C:\Windows\System\regedit.exe

  • このウイルスは、WINDOWS SYSTEM フォルダにファイル感染型ウイルス BRIDE.EXE 及び MSCONFIG.EXE を落とし込みます。これらのファイルは、最新の定義ファイルでは W32/Funlove.dr として検出されます。ドロッパファイルが実行されると、システム上にある全ての32 bit の PE (Portable Executable).EXE、.OCX、.SCRファイルが、改変された W32/Funlove ウイルスに感染します。これらのファイルは、最新の定義ファイルとエンジンで W32/Funloveとして検出されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 以下のファイルが存在する。

    • HELP.EML
    • %Desktop folder%\Explorer.exe
    • %SysDir%\Bride.exe
    • %SysDir%\Regedit.exe (注: WINDOWSディレクトリには、有効なRegedit.exeも存在する)

  • このウイルスは、プロパティをチェックするとウイルス対策プログラムを偽装する。

TOPへ戻る

感染方法

  • このウイルスは、電子メールメッセージで届く。ウイルスが実行されると、PE ファイル感染ウイルスが落とし込まれ、.EXE、.OCX、.SCR ファイルが感染する。

  • このウイルスは、ローカルシステム上にある .DBX 及び .HTM ファイル内のアドレスに自身を送信する。また、以下のアドレスのうちの一つを送信者として使用する。

    • field as well
    • thus forging
    • or spoofing
    • the from address.

  • このウイルスは、実行中のセキュリティソフトを終了させます。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る