平成１４年７月１６日


　平素はネットウェーブ四国のインターネットサービスをご利用いただきまして、
誠にありがとうございます。

　ワームに分類される「トロイの木馬型」ウィスルの感染報告が急増しております。
下記の情報をご参照ください。

１　情報源

〇トレンドマイクロ
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K

○ネットワークアソシエイツ
　http://www.nai.com/japan/virusinfo/infoFrethem.asp

〇シマンテック
　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.frethem.j%40mm.html


２　概要

　このウイルスは、Windows32ビット環境（Windows95.98.ME.NT.2000.XP）で動作
するウイルスで、感染すると、Outlookのアドレス帳に登録されている全てのアド
レス宛にウイルスを添付したメールを送信します。送信者のアドレス欄には、ウイ
ルスが作成した架空のアドレスが記載されます。送信されるメールの内容は次のと
おりです。

この大量送信ワームは、感染するとレジストリキーの書き換えと、Windowsフォル
ダーにウイルスプログラムの コピーを行い、Windowsのアドレス帳に登録されてい
るメールアドレス宛てに、以下のようなメッセージをSMTPにてウイルスメールを送
信します。


件名： Re: Your password! 

本文：

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

(＊＊＊＊)・・・・・＊には名前などが入ります。 

添付ファイル：decrypt-password.exe, password.txt


３　特性

このワームは誤ったMIMEヘッダーを付けることで、添付ファイルを実行するMicro
soft Internet Explorer(ver 5.01、SP2以外の5.5)の脆弱性を利用して、添付ファ
イルとしてついてきたウイルスを自動的に実行させることによって繁殖します。 


４　対策

(1) ブラウザ（InternetExplorer）にパッチを適用する。
　InternetExplorer　5.01の場合、SP2 を適用する。
　InternetExplorer　5.5 の場合、SP2 を適用する。
(2) 当該ウイルスに対応したワクチンデータに更新


５　対応方法

・スタート→検索→ファイルやフォルダから「taskbar.exe」を入力し、検索を行い
　発見された場合には、「Frethem」に感染しています。また、
　%WinDir%\Winstat.iniファイルが存在する場合、感染している可能性があります。
　Windows9x/Me/XPの場合、C:\Windows
　WindowsNT/2000の場合、C:\WinNT
　以下のフォルダを検索してください。

「taskbar.exe」の削除および、レジストリーを修正する必要があります。