TechNet セキュリティ

Gigger に関する情報

公開日: 2002年1月16日
トピック
はじめにはじめに
詳細詳細
Gigger の影響を受ける恐れのある弊社製品Gigger の影響を受ける恐れのある弊社製品
本ワームへの対策本ワームへの対策

はじめに

MSN や、Microsoft Outlook に関連する情報と偽って感染活動を行う Gigger と呼ばれるワームが報告されております。(別名にJS_GIGGER.A、JS.Gigger.A@mm等があります) 弊社では実際の被害報告を受けておりませんが、お客様の環境をより安全に保つことを目的として、本情報を公開いたします。

本ワームに感染すると、ハードディスクをフォーマットすることによって、感染したコンピュータのファイルを消去します。また、以下の方法で感染を広げていくことが判明しています。

Microsoft Outlook、Microsoft Outlook Express を介した感染活動

mIRC を介した感染活動

mIRC は弊社製品ではありません。この製品は、チャットを行う時に使用するアプリケーションになります。

また、以下の Web サイトにて本ワームに関する情報が公開されておりますので併せてご参照ください。

株式会社シマンテック
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2002-011011-3021-99leave-ms

トレンドマイクロ株式会社
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS_GIGGER.Aleave-ms

マカフィー株式会社
http://www.mcafee.com/japan/security/virG.asp?v=JS/Gigger.a@MMleave-ms

詳細

本ワームに感染すると、Outlook アドレス帳に登録されている全員に対して自分自身のコピーを送信し、感染活動を行います。また、mIRC アプリケーションを使用している他のマシンにも感染しようとします。コンピュータに感染後、Autoexec ファイルにC ドライブをフォーマットするための一行が追加されます。また、現在アクセスしているネットワークシェアにも自分自身をコピーします。

本ワームがメールで送信される場合、下記の形式になります。

件名 : Outlook Express Update

本文 : MSNSofware Co.

添付ファイル名 : Mmsn_offline.htm

もしくは

Subject: Outlook Express Update

Message: MSNSofware Co.

Attachement: Mmsn_offline.htm

注意 !!
件名や差出人に、 MSN、Outlook とあるため、MSN から送付された Outlook に関連するメールである印象を受けますが、本メールは弊社から発信されたものではありません。添付のファイルは、Outlook Express Update (修正プログラム) ではなく、ワームであるため、実行せずに破棄をお願いします。

Gigger の影響を受ける恐れのある弊社製品

Microsoft Outlook

Microsoft Outlook Express

本ワームへの対策

本ワームへの対策方法としては、上記のメールが送信された場合には、添付ファイルを実行せずにこのメールを消去してください。添付ファイルを実行しない限り、ワームが感染することはありません。

なお、ワームに感染してしまった場合には、下記の方法で対応を行ってください。

Autoexec.bat ファイルの修正

本ワームに感染すると、Autoexec.batファイルに下記の一行が追加され、次回起動時にドライブがフォーマットされます。

そのため、下記の一行を削除してください。

削除方法

1.

[スタート]-[ファイル名を指定して実行] で、下記を入力してメモ帳を起動します。

notepad c:\autoexec.bat

注意 : C:\ は、インストール先のドライブです。通常上記で問題ありませんが、他のドライブにインストールした場合は、適宜変更を行ってください。

2.

下記の一行が追加されている場合は、削除してください。この場合、他の項目を削除しないよう気をつけてください。

3.

[ファイル]-[上書き保存] を選択して変更を保存し、[ファイル]-[終了] から、メモ帳を終了させてください。

ウイルスファイルの削除

本ワームが感染すると、下記のファイルが作成されます。これらのファイルを削除してください。

C:\B.HTM
C:\BLA.HTA
C:\WINDOWS\help\mmsn_offline.htm
C:\WINDOWS\SAMPLES\WSH\Charts.js 
%ドライブ文字%\Start Menu\Programs\StartUp\msoe.hta (ネットワークドライブ)

レジストリの削除

本ワームが感染すると、下記のレジストリが作成されます。このレジストリを削除してください。

HKEY_LOCAL_SYSTEM\Software\Microsoft\Windows\CurrentVersion
\Run\NAV DefAlert=C:\WINDOWS\help\mmsn_offline.htm 
HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0

削除方法

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要です。Microsoft は、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

レジストリの編集方法の詳細については、レジストリ エディタ (Regedit.exe) のヘルプ トピック「キーと値の変更」、または Regedt32.exe のヘルプ トピック「レジストリ情報の追加と削除」と「レジストリ情報の編集」を参照してください。レジストリを編集する前にレジストリのバックアップを必ず作成してください。Windows NT または Windows 2000 を実行している場合、システム修復ディスク (ERD) も更新する必要があります。

1.

HKEY_LOCAL_SYSTEM\Software\Microsoft\Windows\CurrentVersion\Run\ に存在する下記の項目を削除してください。

NAV DefAlert

2.

HKEY_CURRENT_USER\Software\TheGrave\badUsers\v2.0 を削除してください。

この対策方法は、各ベンダー様のご協力およびご好意にて記載しております。

なお、詳細については、各アンチウイルスベンダーの Web をご覧ください。