HOME情報セキュリティ情報セキュリティ対策ウイルス対策「W32/Hybris」に関する情報

本文を印刷する

情報セキュリティ

「W32/Hybris」に関する情報

情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

差出人が、空白または「Hahaha」のメール(下記表参照)の添付ファイルは絶対に実行せず、削除してください。
このウイルスは、ウイルス自身を添付したメールを自動送信することにより感染を広めるメール機能悪用ウイルスです。
メールに添付されたウイルスファイル(一部を除きEXEファイル)をダブルクリック(実行)することにより感染します。
また、このウイルスは、自分自身を改造し機能を追加する仕組みを持っています。(この機能を持つ最初のウイルスは、1999年12月に初めて発見されたバビロニアウイルスです。)このため、現在は感染パソコンを破壊するような症状は起こしませんが、今後、破壊等の発病機能を持った亜種、変種が出現する可能性があるので、注意が必要です。

ウイルスの概要

このウイルスは、Windows32ビット環境下で動作するウイルスです。
このウイルスは、一部で報道されているような、メール一斉送信タイプのものではありません。
(注:メール一斉送信タイプとはアドレス帳に登録されているアドレスを使ってメールを送信するもので、LOVELETTERStagesウイルスなどがあります。)
また、W32/MTXのように、感染したパソコンからメールを送信すると同じ相手に2通目のウイルス付きメールを自動送信するものでもありません。

このウイルスは、受信メールやWebサイトからメールアドレスを取得してメールを送信します。
従って、ウイルスメールは単独で届きます。また、メールをやりとりしたことのない、まったく関係のない相手方から届くことがあります

感染したパソコンが日本語環境の場合は、差出人、件名、本文が空白ののっぺらぼうメールで、添付ファイルは「ランダムな 8文字のアルファベット」+「.exe」の名称となります。
ただし、海外から送信されたメールは、差出人が、Hahahaで、件名、本文等が入ります。(表参照)

本ウイルスは、日本では2000年11月にIPA/ISEC に最初の相談がありました。世界では 9月に最初に発見されています。


追加情報(2001年1月5日追加)

9月24日または、2001年の毎日毎時59分に、画面の中央に渦巻きを表示する亜種も発見されています。

参考:

  • 日本語環境のマシンからウイルスが送信したメール
    hybris
  • 英語環境のマシンからウイルスが送信したメール
    hybrisnew
感染側の環境 差出人 件名 本文 添付ファイル名
日本語 空白 空白 空白 (ファイルの一例)
FHBMFMFH.exe
LJIGFKLJ.exe
英語 Hahaha Snowhite and the Seven Dwarfs - The REAL story! Today, Snowhite was turning 18.・・・(略) dwarf4you.exe
joke.exe
midgets.scr
sexy virgin.scr
フランス語 Hahaha Les 7 coquir nains C"etait un jour avant son dix・・・(略) blanche.scr
blancheneige.exe
nains.exe
sexynain.scr
スペイン語 Hahaha Enanito si, pero con que pedazo! Faltaba apenas un dia para ・・・(略) blanca de nieve.scr
enanito fisgon.exe
enano.exe
enano porno.exe
ポルトガル語 Hahaha Branca de Neve porno! Faltava apenas um dia para ・・・(略) anao porno.scr
atchim.exe
branca de neve.scr
dunga.scr

予防対策

今回のウイルスも、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば被害に遭わずにすみます。
以下に予防のための対策を示します。

  1. メールの添付ファイルを不用意に実行しない。
    メールに添付されている不審なファイルを実行(ダブルクリック)しないこと。
  2. 最新のワクチン及びウイルス定義ファイルを利用する。
    各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

感染確認方法

WindowsのSystemフォルダに、意味不明な名称(8文字)と拡張子のファイルが複数存在する。

修復に関する情報

改変されたWsock32.dllファイルをオリジナルファイルと入れ替えることで修復します。
(オリジナルのWsock32.dllファイルは、WindowsのCD等に収録されています。入れ替えの手順等については、マニュアルを参照されるか、お使いのパソコンまたはマイクロソフト社のサポートセンターにお問い合わせください。)

また、初期化からシステム等を入れ直すことでも修復はできますが、工場出荷時の状態に戻りますので、インターネット接続などの設定を再度行う必要があります。(ハードディスクの初期化、システム等の再インストールの方法については、マニュアルを参照されるか、お使いのパソコンまたはソフトウェアのメーカーにお問い合わせください。)

注)修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。

関連情報掲載サイト

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2001年 1月 5日 掲載
2002年 1月 8日 ワクチンベンダー情報へのリンク修正