BADTRANS.Bに感染すると2つの被害が発生します。
【ワーム活動】
一つは、自分自身のコピーをメールに添付して送信するワーム活動を行うという側面です。
特徴1:添付ファイル名には、ある規則性があり、
xxx.yyy.zzzなどとなり、
xxxには、いわゆるファイル名が入り、以下のファイル名がつくと言われています。
- Card
- docs
- fun
- HAMSTER
- Humor
- images
- info
- Me_nude
- news_doc
- New_Napster_Site
- Pics
- S3MSONG
- SEARCHURL
- SETUP
- stuff
- Sorry_about_yesterday
- YOU_are_FAT!
- README
というファイル名が入ります。
そして、この種のウイルス(正式にはワーム)に多い二重拡張子を取ります。拡張子が二つあるわけです。一つ目の拡張子は
のうちの一つです。
2番目の拡張子には、
がのいずれかがつきます。
したがって、SETUP.DOC.PIFやSorry_about_yeseterday.MP3.PIFなどという添付ファイル名になります。
どのウイルス対策関係のサイトを見ても、xxx.yyy.zzzの名前を構成するxxxとyyyとzzzはランダムに選択されるようなことが書いてあり、したがって、理論的にはSETUP.DOC.SCRという添付ファイル名での受信もあっても良さそうですが、2001年12月19日現在、1500件以上のウイルスメールを受信しました(こちらに添付ファイル名別受信ランキングがあります。)がありません。
もしかしたら、ウイルスのプログラムコードの中に、自由に組み合わせが起こるように書かれているのかもしれませんが、ウイルスの中身まで調べる技術は私にはありませんので、単に受信履歴から分析した結果から、実はSETUPで始まる場合は、1番目の拡張子はDOC、2番目はpifと一意に決まっているのではないかと思っただけのことです。また、1番目の拡張子がZIPというのも、今のところ受信したことはありません。さらに、「S3MSONG」で始まるウイルスも受信したことはありません。しかし、「SEARCHURL」で始まるウイルスも2件だけしか受信したことがないことを考えると、非常にレアな添付ファイル名というだけで、どこかに存在しているのかもしれません。ウイルス対策ソフトのホームページでも「SEARCHURL」と「S#MSONG」の二つは添付ファイル名の候補に挙げていないところがほとんどです。
これは本当にどうでも良いので、話を元に戻すと、その他にも、バッドトランスには、
特徴2:本文が空である。(ウイルスのプログラム上のバグらしく、添付ファイルのエンコード情報の一部が本文に出てきているものもあります。)
特徴3:差出人のメールアドレスが「_(アンダーバー)」で始まるようにしたものが多い。したがって、そのまま返信してウイルス感染のことを通知してあげたくてもできません。ただし、「_」で始まらない差出人のメールアドレスのときもありますし、別にウイルスメールでないけど「_」で始まるメールアドレスを使っている人もいるかもしれないので、メールソフトのメッセージルールなどの設定で、差出人を基準にウイルスメールをサーバ上で削除しようとすると、正規のメールを受信できなくなる可能性もありますのでご注意ください。
【トロイの木馬】
上記のような、ワームとしての自己繁殖活動ばかりが強調されがちですが、もう一つ、BADTRANSにはトロイの木馬として、侵入したマシン上でのキー入力を記録るという恐ろしい側面があります。クレジットカード情報やパスワード情報が盗まれる可能性があります。
したがって、もし感染した人がいるとするならば、ウイルス対策ソフトで駆除するだけでなく、パスワードなどを変更することをお薦めします。
