「TROJ_POKEY.A」（日本生まれの人気キャラがウイルス界にも登場） 07-Ｊｕｌｙ-00
「TROJ_POKEY.A」は新種のワームです。人気の日本製アニメ「ポケットモンスター」の「ピカチュウ」を題材にしているため話題になりました。最近のワームによく見られるようにOutlookの機能を利用してネットワーク上で増殖する能力を持っています。米国トレンドマイクロでは実際の感染報告も数件受けています。このワームは実行されるとOutlookのアドレス帳に載っているすべてのメールアドレスに自身を添付したメールを送付します。添付されるファイルは通常の実行可能EXEファイルですが、ピカチュウのアニメーションアイコンになっています。また、このワームはAUTOEXEC.BATを修正して次回リブート時にマシンのデータを破壊する活動も行います。

「W97M_RESUME.A」　03-Ｊｕｎ-00
感染力・破壊力ともに強力な新種ワーム, W97M_RESUME.A は、新しく発見された破壊的なワームでWORDマクロで記述されています。このワームのドキュメント　ファイルを開くと、「メリッサ」や「ラブレター」ウイルスと同じように、Microsoft outlookのアドレス帳に登録されたアドレスのすべてに対し、件名が"Resume- Janet Simons"というメールを自動的に送信します。メールにはウイルスプログラム自身が添付されています。(オリジナルのファイル名は"Explorer.doc"というフ名称です。)
また、非常に破壊的な活動をもっており、感染文書を閉じようとすると、AからZまでのすべてのドライブのルートにあるファイルと、以下のディレクトリ内にあるすべてのファイルを削除してしまいます。

C:\My Documents
C:\WINDOWS
C:\WINDOWS\SYSTEM
C:\WINNT
C:\WINNT\SYSTEM32
この破壊活動が実行されるとWindows、Windows NTのシステムディレクトリにあるすべてのファイルを消去してしまうため、感染したPCのシステムは起動できなくなります。

「W97M_RESUME.A」　27-Ｍａｙ-00
5月27日未明(日本時間)、W97M_Resume.Aという新しいマクロウイルスがアメリカ合衆国で報告されました。このウイルスは、Melissaや、Loveletter (Love Bug) ウイルスと同様、Outlookを利用して拡散するワームタイプです。メールの添付ファイルを実行すると、Microsoft Outlookを使用している場合、アドレス帳にあるすべての登録アドレス宛てに自分自身（プログラム）を勝手に送信します。
また、Windows、Windows NT のシステムファイルなどを削除するという悪質な破壊活動を行うため、このウイルスを実行するとシステムを再起動することができなくなってしまいます。感染力　破壊力ともに強力なウイルスのため、今後十分な警戒が必要です。

注意事項　
下記のようなメールを受け取った場合、絶対に開かずに削除してください。

W97M_RESUME.Aが送信するメール内容は以下の通りです：
件名: Resume- Janet Simons
メール本文:
Attached is my resume with a list of references contained within. Please feel free to call or e-mail me if you have any further questions regarding my experience. I am looking forward to hearing from you.Sincerely, Janet Simons

不審なファイルを実行（ダブルクリック）しないでください。

「VBS_NEWLOVE.A」 18-May-00
ラブレターウイルス（ウイルス名「VBS_LOVELETTER」）に続き、再び非常に強い拡散能力を持つ新しいウイルス「VBS_NEWLOVE.A」が確認されました。 ラブレターウイルスと同様、Microsoft Outlookを利用して自身のコピーを添付したメールを送信します。送信対象はOutlookのアドレス帳に登録された全ての宛て先です。このワームはメールに添付するためのコピーをWindowsのシステムディレクトリに作成します。このコピーのファイル名はWindowsの「最近使ったファイル」ディレクトリ（デフォルトではc:\windows\recent）に登録されたファイル名からランダムに選択したものに拡張子を追加したもの（例:"system.ini"→"system.ini.htm.vbs"）になります。「最近使ったファイル」ディレクトリに何もファイルがなければ31文字まででランダムにファイル名を生成します。

実際に送信されるメール内容は以下のようになります:

件名：FW:＜添付ファイル名＞
本文：無し
添付ファイル名 : ＜添付ファイル名＞ + ＜拡張子＞

※＜添付ファイル名＞は「最近使ったファイル」から取得した実際   に送信されるファイル名です。
※＜拡張子＞ は、以下のうちのいずれかになります。
  “.Doc.vbs”, “.Xls.vbs”, “.Mdb.vbs”, “.Bmp.vbs”
  “.Mp3.vbs”, “.Txt.vbs”, “.Jpg.vbs”, “.Gif.vbs”
  “.Mov.vbs”, “.Url.vbs”, “.Htm.vbs

　例えば、system.iniが使われた場合ワームが送信するメール内容は以下の通り：

件名：FW: system.ini
本文：無し
添付ファイル : system.ini.htm.vbs

このような「VBS」の拡張子がついたファイルが添付されているメールは絶対に開かずに削除してください。Windowsはデフォルト設定で、拡張子が表示されないように設定されており、VBSの拡張子はみえないかもしれません。以下の手順に従って、拡張子を表示するよう設定してください。

[手順]：
「フォルダオプション」 →「表示」→「詳細設定」→「表示されないファイル」のところで、「すべてのファイルを表示する」にチェックを入れます。

・不審なファイルを実行（ダブルクリック）しないでください。
・覚えのないvbsアイコンは実行しないでください。

「VBS_LOVELETTER」の変種・亜種 06-May-00
「VBS_LOVELETTER」は、Visual Basic Script で記述されたワームで、5月4日に感染被害が確認され、現在非常に早いスピードで被害を広げています。 パスワードハッキングプログラムをダウンロードし実行する機能も付いていますが、現在ではダウンロード元サイトのリンクが切れており、脅威はありません。 また、現在数種の亜種が確認されておりあらためて注意が必要です。

亜種B（Susitikim版）
オリジナル「LOVELETTER」との相違点：
1)件名：　Susitikim shi vakara kavos puodukui...
2)ウイルスコード：　ウイルスコードの先頭に以下のコメント分を追加
　rem Modified Lameris Tamoshius / Lithuania (Tovi systems)

亜種C (Very Funny版)
オリジナル「LOVELETTER」との相違点：
1)件名：　fwd: Joke
2)メール本文：　kindly check the attached LOVELETTER coming from me.
3)e-Mail添付ファイル名：　Very Funny.vbs
4)mIRC添付ファイル名：　Very Funny.HTM

亜種D (No Manila Header版)
オリジナル「LOVELETTER」との相違点：
1)ウイルスコード：　オリジナルウイルスコードの先頭２行のコメント文を削除

亜種E (Mothersday版)
オリジナル「LOVELETTER」との相違点：
1)件名：　Mothers Day Order Confirmation
2)メール本文：
　　We have proceeded to charge your credit card for the amount of $326.92
　　for the mothers day diamond special. We have attached a detailed invoice to this
　　email. Please print out the attachment and keep it in a safe place. Thanks Again
　　and Have a Happy Mothers Day! mothersday@subdimension.com
3)e-Mail添付ファイル名：　mothersday.vbs
4)mIRC添付ファイル名：　mothersday.HTM
5)感染対象ファイル：拡張子　ini、batのファイルにも感染する。代わりに拡張子jpg、jpegの
　ファイルには感染しない。
6)ウイルスコード：ウイルスコード内の先頭２行のコメント文を変更
7)Internet Explorerのスタートアップページを米国のハッカーサイトのURLに書き換えます。

亜種F (Brainstorm版)
オリジナル「LOVELETTER」との相違点：
1)件名：　Important ! Read carefully !!
2)メール本文：　Check the attached IMPORTANT coming from me !
3)e-Mail添付ファイル名：　IMPORTANT.TXT.vbs
4)mIRC添付ファイル名：　Important.HTM
5)作成ファイル名：
　　ワームが作成するファイル名が以下のように変更されています：
　　Win32DLL.vbs　   →　ESKernel32.vbs
　　MSKernel32.vbs　→　ES32DLL.vbs

注意事項
・「ILOVEYOU」「Susitikim shi vakara kavos puodukui..」「fwd: Joke」「Mothers Day Order Confirmation」「Important ! Read carefully」という件名のメールを受信したら削除してください。不審なファイルを実行（ダブルクリック）しないでください。VBSで書かれたワームのため亜種の作成が容易です。上記件名以外にもvbsファイルが添付されたメールに注意するほか、覚えのないvbsアイコンは実行しないでください。

「VBS_LOVELETTER」 05-May-00
「VBS_LOVELETTER」は、Visual Basic Script で記述されたワームです。 昨年、大きな話題となった「Melissa」と同様、Microsoft Outlookを利用してワームプログラム自身をメールアドレスに自動的に送信し感染を拡大していきます。5月4日に感染被害が確認され、現在非常に早いスピードで被害を広げています。 このワームによって送信されるメールに添付されている“LOVE-LETTER-FOR-YOU.TXT.vbs”というファイルを実行すると、まず、レジストリを改変し、自分自身の複製をコンピュータの中に作成します。また、Microsoft Outlook のアドレス帳に登録されたメールアドレスのすべてに対して、“LOVE-LETTER-FOR-YOU.TXT.vbs” というワームプログラム自身を添付したメールを自動送信します。 また、もっとも有名なIRC（インターネットリレイチャット）クライアントプログラムの「mIRC」を利用し、同じチャットルームに参加しているユーザすべてに対し、ワームプログラム自身を送信してしまいます。 さらに、マシン内にある特定の拡張子を持つファイルを探し出し、これに“感染”してオリジナルファイルを破壊してしまうという、悪質な破壊活動を持っています。 感染（破壊）されるファイルのファイル名はそのままで、拡張子が「vbs」に変更されます。このため、“感染”されたファイルを実行すると、ワームの活動が再度発生します。（ただしメールの送信活動は一番最初に実行されたときしか行われません。）

注意事項
「ILOVEYOU」という件名のメールを受信したら削除してください。 不審なファイルを実行（ダブルクリック）しないでください。 vbsアイコンは実行しないでください。

ウイルス情報詳細
ウイルス名: VBS_LOVELETTER
別名: LOVELETTER
使用言語: 英語
ウイルスタイプ: VBスクリプト、ワーム
使用プラットフォーム: Windows
ウイルスサイズ: 10,307 bytes
発見日: 2000/5/4
破壊活動 :メールを自動送信する、ファイルを破壊する
　 
破壊活動
1) このワームは、Microsoft Outlook に登録されたアドレス帳に登録されたメールアドレスのすべてに対して、“LOVE-LETTER-FOR-YOU.TXT.vbs” というワームプログラム自身を添付したメールを送信します。 このとき送信されるメールは次のようなものです。

件名: ILOVEYOU.
本文: kindly check the attached LOVELETTER coming from me.　（日本語訳：私からのラブレターです。どうぞ読んでみて下さい）
 
2) もっとも有名なIRC（インターネットリレイチャット）クライアントプログラムのmIRCがマシンにインストールされていた場合、mIRCのScript.INIを書き換えます。この改変されたmIRCを使用すると、同じチャットルームに参加
しているユーザすべてに対し、“LOVE-LETTER-FOR-YOU.HTM”とうファイル名のワームプログラム自身を自動的に送信してしまいます。

3)下の拡張子を持つファイルを検索し、見つけるとこのファイルをワームのウイルスコードを保存したもので置き換えます。さらにファイル名を「オリジナルファイル名+オリジナル拡張子」+　.VBS　という名前に変更します。
このように“感染”されたファイルはすべて破壊され、オリジナルファイルを復元することはできません。

.vbs、.vbe、.js、.jse、.css、.wsh、.sct、.hta、.jpg、.jpeg、.mp3、.mp2

対応方法
パターンファイル695以降で対応しています。また、ホームページ（http://www.trendmicro.co.jp）にて、このウイルスに対応した無償のウイルスチェックツール「ウイルスバスター2000」体験版をご使用いただけます。この場合「ウイルスバスター2000」体験版をインストール後、パターンのアップデートを必ず行ってください。検知した場合は以下のウイルスの詳細ページを参照の上手動削除してください。

「ＢＡＴ＿ＣＨＯＤＥ９１１」　04-Ａｐｒ-00
「BAT_CHODE911」は、複数のバッチファイル（*.BAT）を利用して動作するインターネット型ワームです。モデムを利用して911番（米国の緊急電話番号）に自動的に電話をかけることから、「911ウイルス」として話題になっています。米国・ヒューストンなど限られた地域ですが、数千台のマシンが被害に遭い、FBIが現在調査
を進めているということです。 日本語版Windows OSでは正常に実行されないため、日本でデータ損失などの被害に遭う危険は現在のところ低いと考えられます。しかし、コマンドで記述されており、改変が非常に容易であるため、今後十分な注意が必要です。

＜対象＞
北米地域にある特定のプロバイダサービスを利用し、Cドライブが書き込み可能な共有ドライブに設定されている英語版Windowsマシン。

＜感染方法＞
このワームは、北米地域にある、特定の複数のプロバイダのサブネットをスキャンし、そのサブネットを利用しているユーザのマシンへの接続を試みます。このサブネット上にあるコンピュータで、Cドライブが書き込み可能で共有されているドライブを、ネットワークドライブとして割り当て、そこにワームプログラムをコピーし、感染を広げていきます。

＜損害＞
感染すると、5分の1の確率で、AUTOEXEC.BATを書き換えられ、電話番号911番（米国の緊急電話番号）に自動的に電話をかけるようにコマンドを付け加えられます。 さらに、ハードディスクのC:、D:、E:、F:、G:、H:ドライブを強制的にフォーマットしようとします。また、毎月19日にWindowsのシステムディレクトリなどのファイルを削除するなど、悪質な破壊活動を行います。


＜手動削除方法＞
トロイの木馬型プログラムであるため、駆除することはできません。 プログラムが検知された場合は、以下の手順に従ってください。

1）以下のフォルダがマシンの中にある場合は、これを削除してください。
　　C:\progra~1\chodeC:\progra~1\foreskinC:\progra~1\dickhair

2）C:\WINDOWS\START MENU\PROGRAMS\STARTUP\ 内の、ASHIELD.PIF、
　　NETSTAT.PIF、WINSOCK.VBSを削除してください。

「 ＩＲＯＫ，ＶＢＳ＿ＩＲＯＫ 」　30-Ｍａｒ-00
「IROK」はマイクロソフトOutlookと'mIRC'（代表的なIRCソフト）を介してネットワーク上で増殖する能力を持つ新種ウイルスです。　実行すると夜空に星が光る画面が表示され、何かキーを押すと終了します。その裏でウイルスはWindowsのシステムを改変し、感染活動を行っています。　システム改変後最初のWindows起動時に
Outlookのアドレス帳から最初の60人に自分のコピー(IROK.EXE)を添付したメールを送信します。ウイルスが送信するメールの件名は' I though you might like to see this. '　です。

このワームに関するより詳細な情報は
http://inet.trendmicro.co.jp/contents/virusency/default1.asp
をご覧下さい

「ＰＥ＿ＳＨＯＥＲＥＣ．Ａ」　10-Ｍａｒ-00
PE_SHOEREC.Aは新種のミューテーション型ファイル感染ウイルスです。PE型の32ビット実行可能ファイルに感染します。最近、Usenetの様々なニュースグループに大量に投稿されているのが発見されました。このウイルスは起動されるとWindowsディレクトリ、Program FilesディレクトリとそれぞれのサブディレクトリにあるPE型の32ビット実行可能ファイルに感染します。　このウイルスは感染して数ヶ月後から、Windowsのデスクトップ上にあるアイコンを操作したり、ファイルを削除してしまう発病を持っています。

詳しい情報は　
http://inet.trendmicro.co.jp/contents/virusency/default1.asp
をご覧下さい

「TROJ_PRETTY_PARK」　03-Ｍａｒ-00
＜感染方法＞
ウイルスではなくワームに分類される破壊プログラムです。ネットワークやE-Mail、NewsGroupを通じて他のマシンに増殖を広げていくタイプで、ローカルマシン内で他のファイルに感染することはありません。 このプログラムが実行されると、 \Windows \System ディレクトリに「FILES32.VxD」という名前で自分自身の複製を作成します。 次に、下記レジストリエントリの値を「"%1" %*」から「FILES32.VXD "%1" %*」に変更します。この操作によって、他のアプリケーションが実行されるときに、必ずプログラムが実行されるように設定されます。
 
＜損害＞
このプログラムが実行されると、自分自身を添付したメールを、インターネットアドレス帳に登録されているアドレスに勝手に送信しようとします。 また、このワームの作者に「ユーザが操作を受けられる状態である」ということを知らせるために、複数のIRCチャンネルに接続を試み、プログラムの作者にシステム情報とパスワードを送信します。さらに、このプログラムは「TROJ_BKDOOR」のサーバプログラムとして機能します。ウイルスの作成者は、このプログラムを通じて、ユーザのマシンから、インターネットに接続するためのダイアルアップ先の電話番号、ログイン名、パスワード、ICQ登録番号、システムのドライブとディレクトリ情報を取得することが可能になります。また、ユーザのマシンのファイルやディレクトリを勝手に作成／削除したり、プログラムを実行したりすることができます。
 
＜備考＞ファイルサイズが60,928bytes、37,196bytesの亜種があります。症状、発病などはすべて同じです。他にも亜種が報告されており、確認次第お知らせいたします。
 

「VBS_TUNE」 30-Dec-99
「VBS_TUNE」は、電子メールやIRCサービスを利用して、増殖するワーム型ウイルスです。電子メールにはOutlookを利用し、アドレス帳のすべてのユーザに対して、ウイルスが添付されたメールを自動送信します。またIRCを利用しチャットルームのすべての人に対してこのウイルスを送りつけるもので、かつAドライブからZドライ
ブまで、ウイルスをコピーしていくので、ネットワークドライブがマッピングされていた場合そのネットワーク上のコンピュータにも感染します。感染力は「W97M_Melissa」を上回り十分な警戒が必要です。 なお、このウイルス独自の破壊活動はありません。またOutlook Expressでの自動送信はありません。

「TROJ_NEWAPT.WORM（Y2K型）」   28-Dec-99
TROJ_NEWAPT(別名:W32.NewApt.Worm,Worm.NewApt, Worm.NewApt.B, Worm.NewApt.C)に、新たな亜種が2種登場しました。これらの亜種は、オリジナルと同様、実行後にシステムに常駐してメールで自分自身を自動的に送信します。このワームに関してはヨーロッパで感染被害報告が増加しており、今後十分な注意が必要です。

詳しい情報は
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_NEWAPT
をご覧ください。

「TROJ_NEWAPT.WORM（Y2K型）」
このワームは実行されるとOutlookのアドレス帳にあるすべての受信者にメールを送信し、拡散します。メール受信者が添付ファイルを実行するとDLLが見つからない旨のエラーダイアログが表示され終了したかのように見えますが、この間にワームはメモリに常駐し破壊活動を行います。その際のメールの内容は以下のとおりです。

・ HTML形式のメールが扱えない場合の本文
　he, your lame client cant read HTML, haha.click attachment to see some stunningly HOT stuff

・HTML形式に対応している場合の本文
　http://stuart.messagemates.com/index.html
　Hypercool Happy Year 2000 funny programs and　animations・　  We attached our recent animation from this site in our  mail ! Check it out!

・ 確認されている添付ファイルのファイル名
baby.exe, bboy.exe, boss.exe, casper.exe,cheeseburst.exe,cooler1.exe,　cooler3.exe,　copier.exe, cupid2.exe, farter.exe,fborfw.exe, gadget.exe goal.exe, goal1.exe, g-zilla.exe, hog.exe,irnglant.exe, monica.exe, panther.exe, party.exe, pirate.exe,saddam.exe, theobbq.exe, video.exe

詳しい情報は
http://www.trendmicro.co.jp/virusinfo/troj_newapt_worm.htm
をご覧ください。

「TROJ_HLLW_SOFT6（Y2K型）」
このウイルスは、Windows95/98では動作しませんがWindows NTの場合、ネットワークを通じて増殖します。感染すると、午前9時から正午の間画面上に"Hi 2000"というメッセージを表示しつづけます。

詳しい情報は
http://www.trendmicro.co.jp/virusinfo/troj_hllw_soft6.htm
をご覧ください。

「TROJ_VIDEO.25600（ワーム型）」
　TROJ_MYPICS や TROJ_ICQGREETING 同様E-mailを利用して拡散するメモリ常駐型ワームの亜種です。このワームは実行されるとOutlookのアドレス帳にあるすべての受信者に以下のような内容のメールを送信し、拡散します。

件名 　　：Here's a digital video for you
本文 　　：なし
添付ファイル：VIDEO.EXE
メール受信者が"VIDEO.EXE"を実行しても一見何も起こらずに終了したように見えますが、この間にワームはメモリに常駐します。その際、ルートディレクトリにコピーを作りマシン起動時にワームが自動的に起動するようになります。

詳しい情報は
http://www.trendmicro.co.jp/virusinfo/troj_video_25600.htm
をご覧ください。

「PE_OPORTO.3078（ファイル感染型）」
このウイルスが実行されると、カレントディレクトリとWindowsディレクトリ以下のすげてのディレクトリにある、すべてのPE形式のプログラムファイルに感染を試みます。30種類のWindowsAPIを利用して感染すべきファイルを探します。また、ファイル名の頭4文字が"NVTD"で始まるファイルには感染しません。また、"ANTI-VIR.Dat" というファイル名のファイルを発見するとすべて削除します。感染先プログラムの頭6バイトを上書きして感染しますが、オリジナルコードは保存され実行時にはメモリ中で復元されます。

9月24日に実行されると発病し、以下の文字列を含むメッセージボックスをいくつも表示します
TOTILIX Presents・

This >TOTILIX< Virus was assembled at the city of Oporto Portugal! gas_par@hotmail.com
c) 1999 G@SP@R aka Sexus

メッセージボックスが無数に表示されるためリソースが枯渇し、最終的にはシステムクラッシュを招く場合があります。

詳しい情報は http://www.trendmicro.co.jp/virusinfo/pe_oporto_3076.htm をご覧ください。

「W97M_VERLOR.A（マクロ型）」
感染ファイルをオープンすると、Word97のマクロ警告機能を無効にし、Wordの標準テンプレートであるNOMAL.DOTに感染します。ユーザがマクロ表示しようとすると、文書ファイルとNORMAL.DOTから自分のウイルスマクロをすべて削除して感染を隠してしまうという、非常にユニークなステルス活動を行うマクロウイルスです。

詳しい情報は
http://www.trendmicro.co.jp/virusinfo/w97m_verlor_a.htm
をご覧ください。



「TROJ_MYPICS」
「TROJ_MYPICS」は、2000年になると発病する新しいY2Kウイルスです。このワームは、e-mailを媒体に感染を広げ、「Pics4You.exe」という名称の添付ファイルを実行すると、Outlookに登録されているメールアドレス50アドレスに対し、自動転送します。また、メモリに常駐しシステムの日付が2000年になるとAutoexec.batにハードディスクをフォーマットするコマンドを書き込み、次のマシン起動時には、そのコマンドを読み、ハードディスクをフォーマットしてしまいます。 なお、現在日本での感染報告等はありませんが(トレンドマイクロ調べ)e-mailを利用する非常に拡散能力の強いワームであるため、今後十分な注意が必要です。

● 注意事項
「Pics4You.exe」という名称実行型プログラムや、下記英文の返信メールを受け取った場合、実行せずそのままメールを破棄して下さい。

タイトル：なし
本文 :'Here's some pictures for you!'
添付ファイル : Pics4You.exe(34,304 bytes)

● 対応方法
トレンドマイクロでは、パターンファイル615以降、検索エンジン2.082以降で対応しています。これはインターネットワームであるため、ウイルス対策ソフトで検知後、後述の手順に沿って手動削除してください。

●手動駆除手順
1. Ctrl-Alt-Delキーを押して、'MYPICS'というタスクを終了させてください。

2. レジストリエディタを利用して、以下のレジストリエントリの値C:\Pics4You.Exeを削除してください。

*Windows 9x
HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run= C:\Pics4You.Exe

*Windows NT
HKEY_LOCAL_MACHINE\Software\MicrosoftWindowsNT\Windows\Run= C:\Pics4You.Exe

3. autoexec.bat ファイルが以下の記述が無いかを確認してください。
この改変は、このワームに感染したシステムを2000年に起動したときに行われます。もしこの記述があればオリジナルのAutoexec.batで復元してください。
ctty nul
format d: /autotest /q /u
format c: /autotest /q /u

4. CBIOS.COM というファイルがないかを確認してください。このファイルはこのワームに感染したシステ　 ムの日付が2000年になったときに作成されます。もしこのファイルがあれば削除してください。

5.Pics4you.exe というファイルがシステムにないか検索してください。
もしあればこれを削除してください。

レジストリを変更するのは非常にデリケートな行為であり、誤った操作を行うと、システムに損傷を与える可能性があります。レジストリの修復は慎重に行ってください

 

「TROJ_EXPZIPWMPAK」
6月頃、世界で猛威をふるったワーム「TROJ_EXPLOREZIP」の亜種で、圧縮されているため原種よりもサイズが小さいのが特徴です。これはe-mailを媒介に感染を広げ、さらに、感染したマシンだけではなくネットワークで共有されている全てのクライアントとサーバのデータファイルを破壊するという非常に脅威的なワームです。ネットワーク環境の場合、たった1台のコンピュータがウイルス対策を怠っており、そこで発病してしまうとネットワーク上のすべての共有ドライブに対して破壊活動を行ないます。　米国でも感染報告が報道されていましたが、日本国内でも感染が拡大していることが確認されました。再度、緊急に警告いたします。

再度、ネットワークに接続されている全てのコンピュータをウイルスチェックしてください。

● トレンドマイクロ株式会社の製品をお使いの方は、　パターンファイル615以降、検索エンジン（VSAPI）　2.082以降をお使いください。これはインターネットワームで
　あるため、ウイルス対策ソフトで検知後、後述の手順に　沿って手動削除してください。

● そのほかの注意事項　
「zipped-file.exe」という名称の実行型プログラムや、　下記の英文の返信メールを受け取った場合、実行せず　そのままメールを破棄してください。

応急処置法
　「TROJ_EXPZIPWMPAK」を万一実行してしまった場合、　応急処置としてまず次の処置を行ってください。

�@まず、ネットワークケーブルを抜く
このワームはブラウズできるすべてのネットワークコンピュータ　を検索し、見つかったファイルをすべて破壊することが　できます。特にどこで誰が実行してしまったのか分からない　場合、被害を最小にとどめるためにも、物理的にネットワーク　を切断することをおすすめします。

�Aパターンやエンジンのアップが間に合わなかった場合、
　"Explore.exe" か "_setup.exe" を全クライアントで検索する

「スタートボタン」→「検索」→でファイル名で検索します。これらのファイルがあれば、そのマシンはほぼ間違いなくリモートインストールされています。手動削除手順で対応してください。

手動削除手順
●Windows 95/98
１．<ルート>:\Windows ディレクトリの中のWIN.INIファイルの　以下の記述を削除します。　"run=C:\WINDOWS\SYSTEM\Explore.exe"

２．マシンを再起動します。

３．"C:\WINDOWS\SYSTEM\"ディレクトリの中の"EXPLORE.EXE"　　というファイルを削除します。

●Windows NT
１． 以下のレジストリキー"run"の値　"c:\winnt\system32\Explore.exe"を削除し値を空にします。　　HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows

２． マシンを再起動します。

３．"C:\WINNT\SYSTEM32\"ディレクトリの"EXPLORE.EXE"というファイルを削除します。


 

「ＨＡＰＰＹ９９．ＥＸＥ」

HAPPY99.EXE」ファイルは電子メールやニュースグループの添付ファイルとして送られてくるもので、メールの本文は空白です。このファイルを実行すると感染しますが、ニュースグループを読んだりメール本文を開くだけでは感染しません。ファイルを実行すると、「Happy New Year 1999!!」というタイトルのついた花火の画面がディスプレイされます。そして、ユーザが気づかないうちに、インターネット接続を行うファイル「winsock32.dll」が書き換えられてしまいます。これにより、HAPPY99.EXEファイルのコピーが自動的に作成され、感染ユーザから発信される電子メールやニュースグループへの投稿に添付されて送られます。パスワードを盗んだりハードディスクの内容を消去するなどの悪質なウィルス/ワームではありませんが、自動的に自分のコピーを大量に送りつけるため、Eメールサーバのオーバーロードを起こしたり、ネットワークをスローダウンさせたりする可能性もありますので、くれぐれも実行しないようにしてください。

確認方法と駆除方法：　コンピュータのC:\Windows\Systemから directoryに行き、

があるか調べます。なかったあなたは無事。あった場合は感染しています。でもご心配なく！ 簡単な駆除方法があります。

駆除方法：基本的には、wsock32.ska で wsock32.dll を上書きしてやればもとに戻りますが、Windows 95/98 が起動していると、wsock32.dll を置き換えることができないこともあります。この場合は、MS-DOSモードで起動して作業してください。以下にその方法をご説明します。

１．コンピュータをMS-DOSモードで再起動します。

start / windowsの終了 / MS-DOSモードで再起動するを選んで、ＯＫをクリック。

２．ＤＯＳのプロンプトが表示されたら、次のとおり、順番にコマンドを実行します。少しでも間違えるとコンピュータが正常に動作しなくなる場合もあるので注意してくださいね。

copy wsock32.ska wsock32.dll

（上書きしてもよろしいですか、の質問には 「はい」と答えます。すると、「１つのファイルをコピーしました」というメッセージが表示されます。これでＯＫ。）

３．エラー無く完了したら終了です。