badtrans

W32.Badtrans.B

対策をしていない場合でしかもOutlookExpressとかOutlookを使用していると
見ただけでばっちり感染してしまうこの「Badtrans.B」
メールの形式とかに特徴がたくさんあるので挙げておきましょう
その前に以下の二つの駆除・修復ツールで一応確認してすることをお薦めします

トレンドマイクロ
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3368

シマンテック
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.badtrans.b%40mm.removal.tool.html

まず一番大事な基本
・OutlookではBadtrans.B付きのメールを開いたら感染するがプレビューでは感染しない
・OutlookExpressではBadtrans.B付きのメールを開いたら感染する
・OutlookExpressではBadtrans.B付きのメールを開かずにプレビューしただけでも感染する
要するに、Outlook系を使っていて、IE5.01以前、及びIE5.5のまんまで使っている人は
感染すると思ってください
OutlookExpressで受信すると、メールを選択しただけでプレビューしてしまいますので
設定を以下のように変更してからでないと、削除しようと選択した瞬間に感染します

>OutlookExpress を起動し、ローカルフォルダを選択して、 >メニューバーから [表示] - [レイアウト] で >「ウインドウのレイアウトのプロパティ」ダイアログボックスを表示し、
>「プレビューウィンドウを表示する」のチェックを外して
>プレビューウィンドウが表示されないようにしてから、メールを削除してください

なお、他のメーラーででこのメールを受信したオイラは対策をしているので
「保存しますか？」とかいうダイアログが出ました。
これを興味本位で保存してもダブルクリックして実行しないこと。もちろん感染します
また、NetscapeNavigatorやOperaを使っていようが、ダブルクリックすれば感染します。
さらに、「タブブラウザ」に分類されるソフトは全部InternetExplorerが本体ですので、
InternetExplorerがIE5.01以前、及びIE5.5のまんまの人は速攻でバージョンアップしましょう。

送信されてくるメールには特徴があります。

>パターン1: 先頭に '_' (アンダースコア) が付いたアドレス

たとえば、 _macha@mu-ken.com こんな感じです。また、
>パターン2: 以下のアドレスのいずれかの場合もあります。
>" Anna"
>"JUDY"
>"Rita Tulliani"
>"Tina"
>"Kelly Andersen"
>" Andy"
>"Linda"
>"Mon S"
>"Joanna"
>"JESSICA BENAVIDES"
>" Administrator"
>" Admin"
>"Support"
>"Monika Prado"
>"Mary L. Adams"
>" Anna"
>"JUDY"
>"Tina"

こいつは一度送信した相手を記録しているので、2重送信はしません
メールの件名は、

>パターン1: "Re:" のみ
>パターン2: 先頭に 'Re:' が付く、以前に送ったメールの返信の件名
>パターン3: 空の件名本文はからっぽです。

で、肝心の添付ファイル名はこんな感じのルールで決められています。
以下の単語の組合せで、拡張子が2重についています。

>　　xxxxxx.yyy.zzz
>
>最初のxxxxxxは、
>
>fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP,stuff, >YOU_are_FAT!,HAMSTER, news_doc, New_Napster_Site, README, images, Pics, SEARCHURL
>
>のうちから任意の１つ。
>
>2番目のyyyは、DOC, MP3 から任意の１つ。
>
>最後のzzzは, pif, scr から任意の１つ。
私の場合、一番最初に届いたのは「ME_NUDE.MP3.scr」でした

バージョンアップもできて、メールの見分け方も身に付いて、駆除ツールも手に入れて、
満足のはずなのですが、まだ安心出来んとか言う人はこちら。

TechNet Online - BadTrans.B ワームに関する情報 http://www.microsoft.com/japan/technet/security/virus/badtrans.asp
trendmicroウイルス情報
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=WORM%5FBADTRANS%2EB
McAfee ウイルス百科事典
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM
「W32/Badtrans.B」ワームに関する情報
http://www.ipa.go.jp/security