BubbleBoyに関する情報

平成11年11月12日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)


メールを開くだけで感染・発病するワーム(広義のウイルスに属する)が確認されました。現時点では、被害報告はありませんが、今後は十分警戒することが必要です

注意事項

 1.BubbleBoyは、InternetExplorer5のセキュリティホールを利用しています。
  下記サイトにセキュリィティホールの修正プログラムに関する情報が掲載されていますので、参照の上、速やかに適用(パッチを当てる)して下さい。
  (マイクロソフト社のサイト:http://www.microsoft.com/windows/ie_intl/ja/security/eyedog.htm
  パッチを当てた上で、適切なセキュリティレベル設定(注)を行えば、このウイルスの自動実行を防止できます。

 2.「"BubbleBoy is back"」という表題のメールは速やかに削除して下さい。

 3.各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新して下さい。

   主なワクチンベンダーのWebサイト等一覧

●ウイルスの概要

このウイルスはHTML形式のメールに埋め込まれており、InternetExplorer5 、WSH(注:WindowsScriptingHost、Windows98、2000では標準で装備されています。)がインストールされている場合、マイクロソフト社のOutlook、OutlookExpressでメールを開いたとき(OutlookExpressの場合は、「プレビューウインドウ」を使ったときでも)に動作を行い、UPDATE.HTAという名称のファイルをC:\Windows\StartMenu\Programs\Startup\ (英語環境の場合)に作成し、次のWindows起動時に実行されるようにする。
UPDATE.HTAが実行されると、レジストリを変更し、所有者を"BubbleBoy"に、組織を"Vandelay Industries"に変更する。
次に、アドレス帳に登録されている全てのメールアドレス宛に、ウイルスを埋め込んだメールを送信する。
(現在確認がとれているのは、Outlook)
なお、メールが送信されるのは、一回だけである。

送信されるメールは、次のとおり。
From:感染者の名前
Subject:BubbleBoy is back!
Body:The BubbleBoy incident,pictures and sounds
    http://www.towns.com/dorms/tom/bblboy.htm

現時点で発見されたウイルスは日本語環境では動作はしないが、今後変種が作成される可能性もあるので、注意が必要である。

●下記サイトにも情報が掲載されていますので、御参照下さい。

注)適切なセキュリティレベル設定について
 InternetExplorer5のツール/インターネットオプション/セキュリティタグ/レベルのカスタマイズの「ActiveXコントロールとプラグイン」の設定を「有効にする」にしておくと、パッチを当ててあっても、今回発見されたようなウイルスは自動実行されてしまう。

      ウイルス対策のトップページこちらをご覧ください。


Copyright © 1999 Information-technology Promotion Agency, Japan. All rights reserved.