[connect24h:04718] Re: nimda

["k-imaiz" <k-imaiz@xxxxxxxxxxxxxxxxx>]

k-imです。

desktop.emlが全フォルダにばらまかれる謎。

http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=PE_NIMDA.A

によれば

<引用開始>
１）ファイルコピー： 
　感染マシンの全ドライブの全フォルダに
自身のメール形式のコピーを１つづつ作成します。
ドライブはローカル、ネットワークを問わないので
ネットワークドライブの設定があった場合には
他のマシンへウイルスのコピーが行われてしまいます。
このメールファイルの拡張子は.eml（メールファイル）か
.nws（ニュースファイル）です。

この際、コピーを行うディレクトリ内に
存在するファイル一つをウイルスのメールファイルで
上書きし、拡張子を.emlもしくは.nwsに変更する場合も
あります。

このメール形式のコピーはファイルサイズが78KBです。 

　同様にウイルスのプログラムファイルのコピーも
作成します。プログラムファイルのファイルサイズは
56KBでファイル名には「Riched20.dll」のファイル名を
使用する他、拡張子に「.EXE」「.EML」「.DOC」の
いずれかを使用する場合もあります。 

　ウイルスが作成もしくは上書きしたファイルの属性は
すべて「隠しファイル」に設定されます。 

<引用終了>

desktop.eml は、もともとそこにあった
desktop.ini が、やられちゃったんですね。
やっと合点がいきました。

やはり感染したら再インストールが一番。
ところで
「Riched20.dll」
も書き換わるってのは
ウイルスの実装ミスでしょうか？
ワードパッドが起動しなくなるだけです。
本当はワードパッドが起動される都度
繁殖させたかったんでしょうけれど。
くわばらくわばら。

コンピュータ素人さんには
「ｗｏｒｄｐａｄが起動できなかったら
すごく怪しいよ。起動できても
あやしいけど。。」
と説明しています。
わりとわかりやすい判定法なので
判定の努力をしてくれないよりマシかと。
変種が出たらアウトですが。




------------------------------------------------------------------------
　　　　　　　　 ニュース速報！　はインフォシークで！！
　　　　 http://www.infoseek.co.jp/Home?pg=Home.html&svx=971122