製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス情報

ウイルス名
W32/Badtrans@MM
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4168
対応定義ファイル
(現在必要とされるバージョン)
4317 (現在7506)
対応エンジン4.1.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Backdoor-NK.svr, BadTrans (F-Secure), BadTrans.B (F-Secure), I-Worm.Badtrans (AVP), I-Worm.Badtrans.B (AVX), PWS-Gen.hooker, PWS-Hooker.plugin, TROJ_BADTRANS.A (Trend), W32.Badtrans.13312@mm (NAV), W32.Badtrans.B@mm (NAV), W32/Badtrans.B (Panda), W32/Badtrans.eml
情報掲載日01/04/19
発見日(米国日付)01/04/11
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/20RDN/Generic ...
07/20RDN/Generic ...
07/20Generic.bfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7506
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

・AVERTは、このウイルスの亜種「Badtrans.b」の危険度を中[要警戒]へと引き上げました。亞種Bに対応するには、定義ファイル4168以上が必要です。なおBadTransがドロップ(作成)するトロイの木馬は定義ファイル4172以降でPWS-AVとして検出されます。


2001年11月29日更新情報
VirusScan4.5.1の出荷時設定で、ウイルス定義ファイル4173(2001年11月29日アップ)を組み合わせてご使用いただくことにより、Badtransの検出が可能であることが確認されました。

ウイルス定義ファイルのダウンロードはこちら

2001年11月28日更新情報
Badtrans.bに対応可能なエンジンのバージョンについて


Badtrans.bについて

図解:Badtransとはどんなウイルスなのか?
図解でBadtransの特徴やその活動を説明します。ご参考ください。

・この亞種は、Microsoft Outlookの受信メールへの返信として繁殖します。

・また宛先は"*.asp"や"*.ht*"ファイルの中にある電子メールアドレスが使われます。送信元には、本来の送信者のアドレスか、あるいは以下のアドレスのうちのいずれかが使われます。(なお、前者のアドレスが使われた場合は、アドレス先頭に"_" (アンダーライン)が追加されるので、そのアドレスに返信することはできません)。

" Anna" <aizzo@home.com>
"JUDY" <JUJUB271@AOL.COM>
"Rita Tulliani" <powerpuff@videotron.ca>
"Tina" <tina0828@yahoo.com>
"Kelly Andersen" <Gravity49@aol.com>
"Andy" <andy@hweb-media.com>
"Linda" <lgonzal@hotmail.com>
"Mon S" <spiderroll@hotmail.com>
"Joanna" <joanna@mail.utexas.edu>
"JESSICA BENAVIDES" <jessica@aol.com>
" Administrator" <administrator@border.net>
" Admin" <admin@gte.net>
"Support" <support@cyberramp.net>
"Monika Prado" <monika@telia.com>
"Mary L. Adams" <mary@c-com.net>

・電子メールの件名は、通常"Re:"となります。

・ウイルスの添付ファイルの名称は以下の3つの部分で構成されています。

一個目の部分は以下の中から選択されます:
fun
Humor
docs
info
Sorry_about_yesterday
Me_nude
Card
SETUP
stuff
YOU_are_FAT!
HAMSTER
news_doc
New_Napster_Site
README
images
Pics

二個目の部分は以下の中から選択されます:
.DOC.
.MP3.
.ZIP.

三個目の部分は以下の中から選択されます:
pif
scr

・またこの新亜種は、パッチを当てていないシステム上で自動的に実行されるよう、iフレームおよび「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する 」という脆弱点を悪用します。

・このため脆弱なシステムでは、添付ファイルをクリックしなくても、メールを開いただけで、あるいはプレビューで試し見しただけでもウイルスが動作を開始します。

この脆弱点についての詳細は 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020) をご覧ください。


Badtrans.aについて

・このメール大量送信型ウイルスは、Microsoft Outlookを使用して未開封の電子メールに返信することによって、自身を配信しようとします。

・また、このウイルスはリモート アクセスのトロイの木馬を落とし込みます(定義ファイル4134を使用した場合、このトロイの木馬はBackdoor-NK.svrとして検出されます。ただし、DAT4134以前の定義ファイルでは、ヒューリスティック方式でNew Backdoorとして検出されます)。

・このウイルスが起動すると、"Install error"(インストール エラー)というタイトルのメッセージ ボックスが現れ、"File data corrupt: probably due to a bad data transmission or bad disk access."(ファイル データの破損:データ転送またはディスク アクセスに失敗したと思われます)と表示されます。

・さらにウイルスのコピーが、WINDOWSディレクトリにINETD.EXEとして保存され、起動時にINETD.EXEが実行されるように、WIN.INIファイルにエントリが挿入されます。

・さらにKERN32.EXE(バックドアを開けるトロイの木馬)およびHKSDLL.DLL(キーボード打鍵記録DLL:PWS-AVとして検出されます)が、WINDOWS SYSTEMのディレクトリに書き込まれ、システムの起動時にトロイの木馬が読み込まれるように、次のレジストリ エントリが作成されます。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce\kernel32=kern32.exe

注:Win NT/2000では、エントリはWIN.INIではなくレジストリに書き込まれます。

・このトロイの木馬は、起動すると、感染システムのIPアドレス情報を作者に送ります。

・作者がこの情報を入手すると、インターネットを介して感染システムに接続し、ユーザ名やパスワードなどの個人情報を詐取する恐れがあります。

・また、このトロイの木馬には、キーロガー プログラムが含まれており、これによってクレジット カードや銀行口座などの番号やパスワードといった重要情報を取得されるおそれがあります。

・次にWindowsが起動すると、このウイルスはMicrosoft Outlookフォルダにある未開封のメッセージに返信することによって、自身を配信しようとします。

・このウイルスは、以下のファイル名のいずれかを使用して、メッセージに添付されます。(これらのファイル名のなかには、W95/MTX.gen@Mなどの脅威と関連しているものがあります。)

Card.pif
docs.scr
fun.pif
hamster.ZIP.scr
Humor.TXT.pif
images.pif
New_Napster_Site.DOC.scr
news_doc.scr
Me_nude.AVI.pif
Pics.ZIP.scr
README.TXT.pif
s3msong.MP3.pif
searchURL.scr
SETUP.pif
Sorry_about_yesterday.DOC.pif
YOU_are_FAT!.TXT.pif

・メッセージの本文には、以下の文字が含まれることがあります。
Take a look to the attachment.

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る
駆除方法

・検知・駆除には、指定のウイルス定義ファイル・ウイルス検出エンジンをご使用ください。

・また、VShield/オンデマンドスキャンの設定で【スキャン対象】を[デフォルトファイル]に設定していると、Badtranceを検出しないという問題については、こちらのExtra.datをご使用になる事で回避できます。


Badtrans.Bの手動駆除方法はこちらをご覧ください。


本亞種には定義ファイル4168でも対応しておりますが、定義ファイル4173の方が設定変更などを必要とせずに対処できます。

定義ファイル4173 VirusScan 4.5.1の出荷時設定のままでBadTrans.Bに対応可能
定義ファイル4172 EXTRA.DATを組み合わせた場合は、対応可能。詳細はこちらをご覧ください
定義ファイル4168-4171 「圧縮ファイルの検査設定をオンにする」、VirusScan 4.5.1では「すべてのファイルの検査」をオンにする、などの設定変更をすれば、対応可能。詳細はこちらをご覧ください

・なおW32/Badtrans.A@MM、W32/Badtrans.B@MMのいずれを検出した場合でも、VirusScanが報告するウイルス名はW32/Badtrans@MM です。