トレンドマイクロ、「BAT_SPYBOT」と「WORM_MUMU.A」を警告

　トレンドマイクロは6月27日、多数のハッキングモジュールを埋め込むバッチファイル「BAT_SPYBOT.A」と、BAT_SPYBOT.Aを埋め込むワーム「WORM_MUMU.A」について警告を発した。

　BAT_SPYBOT.Aは5月末に発見された後、日本国内でも被害報告が増えている。WORM_MUMU.Aも世界的に流行する恐れがあるとして、トレンドマイクロではいずれも危険レベルを「VAC-3」とした。VAC（Virus Alert Code）は１〜5までのレベルで表示する同社の新種ウイルス脅威度評価。VAC-１が最も脅威度が高い。

　BAT_SPYBOT.Aは、DOSのバッチファイルで作成されたトロイの木馬型不正プログラム。Windows NT/2000/XP で動き、複数のプログラムモジュールが連携して活動を行う不正プログラム群の一部。キー入力やマウス操作からパスワードを盗み取るキーロガー機能を持つほか、アカウント名"admin"、パスワード"KKKKKKK"の不正アカウントを作成して、その結果を外部の不正ユーザーにメール通知するなどの機能も持つ。

　WORM_MUMU.Aは、ネットワーク上の共有ドライブに対して自身のコピーを作成し、SAT_SPYBOT.Aなどの不正プログラムをインストールする「ウイルスドロッパー」としての機能を持つ。感染・侵入はBAT_SPYBOT.Aと同様にネットワーク活動によって行う。Windowsのネットワーク共有（SMB）に対して自身のコピーを作成し、共有ドライブへのアクセスの際は"IPCPass.txt"内に記録されたパスワードのリストを使用する。

　トレンドマイクロは感染した場合の対策として、ウィルスとして検出されたファイル全ての削除、改変されたWindowsデータを同社の専用ツールなどで修復することを推奨している。不正アカウントを検出した場合は削除し、すでに不正ユーザーがパソコン内部を操作している可能性を考え、重要なファイルやID、ログインパスワードの見直すように呼びかけている。

　また簡易なパスワードが狙われる傾向にあり、感染を防ぐためにログインパスワードの見直しも推奨している。

トレンドマイクロのウィルス警報