Information-technology Promotion Agency, Japan
本文へ
 IPA

トップ|電子申請|お問い合わせ|サイトマップ
独立行政法人 情報処理推進機構






セキュリティセンター 誰もが「安心」してコンピュータを利用できる環境を構築するために、情報セキュリティ対策の強化・整備を推進します。







English



緊急対策情報



届出


届出ウイルス一覧




ウイルスの届出




不正アクセスの届出




脆弱性関連情報の届出





情報セキュリティ対策


ウイルス対策




新種ウイルス情報




不正アクセス対策




脆弱性関連情報の取扱い




読者層別 対策実践情報





暗号技術


CRYPTREC





セキュリティ評価・認証


JISEC





セミナー・イベント



資料・報告書等


調査・研究報告書




開発成果紹介




セキュリティ関連RFC




PKI関連技術情報





公募



IPA/ISEC PGP公開鍵



サポート情報


ウイルスデータベース




用語集




FAQ(よくある質問)




セキュリティ関連リンク





IPAセキュリティセンターについて




IPAトップ>セキュリティセンター>ウイルス対策>記事


「W32/Hybris」に関する情報


最終更新日:2002年 1月 8日
更新履歴


情報処理振興事業協会
セキュリティセンター(IPA/ISEC)



差出人が、空白または「Hahaha」のメール(下記表参照)の添付ファイルは絶対に実行せず、削除してください。

このウイルスは、ウイルス自身を添付したメールを自動送信することにより感染を広めるメール機能悪用ウイルスです。
メールに添付されたウイルスファイル(一部を除きEXEファイル)をダブルクリック(実行)することにより感染します。
また、このウイルスは、自分自身を改造し機能を追加する仕組みを持っています。(この機能を持つ最初のウイルスは、1999年12月に初めて発見されたバビロニアウイルスです。)このため、現在は感染パソコンを破壊するような症状は起こしませんが、今後、破壊等の発病機能を持った亜種、変種が出現する可能性があるので、注意が必要です。



ウイルスの概要

このウイルスは、Windows32ビット環境下で動作するウイルスです。
このウイルスは、一部で報道されているような、メール一斉送信タイプのものではありません。
(注:メール一斉送信タイプとはアドレス帳に登録されているアドレスを使ってメールを送信するもので、LOVELETTERStagesウイルスなどがあります。)
また、W32/MTXのように、感染したパソコンからメールを送信すると同じ相手に2通目のウイルス付きメールを自動送信するものでもありません。

このウイルスは、受信メールやWebサイトからメールアドレスを取得してメールを送信します。
従って、ウイルスメールは単独で届きます。また、メールをやりとりしたことのない、まったく関係のない相手方から届くことがあります

感染したパソコンが日本語環境の場合は、差出人、件名、本文が空白ののっぺらぼうメールで、添付ファイルは「ランダムな 8文字のアルファベット」+「.exe」の名称となります。
ただし、海外から送信されたメールは、差出人が、Hahahaで、件名、本文等が入ります。(表参照)

本ウイルスは、日本では2000年11月にIPA/ISEC に最初の相談がありました。世界では 9月に最初に発見されています。



追加情報(2001年1月5日追加)

9月24日または、2001年の毎日毎時59分に、画面の中央に渦巻きを表示する亜種も発見されています。

参考:
http://www.jcsa.or.jp/w32Hybrs.html
http://www.sophos.co.jp/virusinfo/analyses/w32hybrisc.html
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FHYBRIS%2EP33



・日本語環境のマシンからウイルスが送信したメール
hybris

・英語環境のマシンからウイルスが送信したメール
hybrisnew

感染側の環境

差出人

件名

本文

添付ファイル名

日本語

空白

空白

空白

(ファイルの一例)

FHBMFMFH.exe
LJIGFKLJ.exe

英語

Hahaha

Snowhite and the Seven Dwarfs - The REAL story!

Today, Snowhite was turning 18.・・・(略)

dwarf4you.exe
joke.exe
midgets.scr
sexy virgin.scr

フランス語

Hahaha

Les 7 coquir nains

C"etait un jour avant son dix・・・(略)

blanche.scr
blancheneige.exe
nains.exe
sexynain.scr

スペイン語

Hahaha

Enanito si, pero con que pedazo!

Faltaba apenas un dia para ・・・(略)

blanca de nieve.scr
enanito fisgon.exe
enano.exe
enano porno.exe

ポルトガル語

Hahaha

Branca de Neve porno!

Faltava apenas um dia para ・・・(略)

anao porno.scr
atchim.exe
branca de neve.scr
dunga.scr




予防対策

今回のウイルスも、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば被害に遭わずにすみます。
以下に予防のための対策を示します。

1.メールの添付ファイルを不用意に実行しない。
メールに添付されている不審なファイルを実行(ダブルクリック)しないこと。

メールの添付ファイルの取り扱い5つの心得

2.最新のワクチン及びウイルス定義ファイルを利用する。
各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

主なワクチンベンダーのWebサイト等一覧



感染確認方法

WindowsのSystemフォルダに、意味不明な名称(8文字)と拡張子のファイルが複数存在する。



修復に関する情報

改変されたWsock32.dllファイルをオリジナルファイルと入れ替えることで修復します。
(オリジナルのWsock32.dllファイルは、WindowsのCD等に収録されています。入れ替えの手順等については、マニュアルを参照されるか、お使いのパソコンまたはマイクロソフト社のサポートセンターにお問い合わせください。)

また、初期化からシステム等を入れ直すことでも修復はできますが、工場出荷時の状態に戻りますので、インターネット接続などの設定を再度行う必要があります。(ハードディスクの初期化、システム等の再インストールの方法については、マニュアルを参照されるか、お使いのパソコンまたはソフトウェアのメーカーにお問い合わせください。)

注)修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。

関連情報掲載サイト
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FHYBRIS%2EA
http://www.f-secure.co.jp/v-descs/v-descs2/hybris.htm
http://www.symantec.com/region/jp/sarcj/data/w/w95.hybris.gen.html
http://www.nai.com/japan/virusinfo/virH.asp?v=W32/Hybris.gen@M&a=H


ウイルス対策のトップページこちらをご覧ください。



更新履歴

2001年 1月 5日 掲載
2002年 1月 8日 ワクチンベンダー情報へのリンク修正




ご利用条件   プライバシーポリシー


Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2005