「W32/Hybris」に関する情報
最終更新日:2002年 1月 8日
更新履歴
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
差出人が、空白または「Hahaha」のメール(下記表参照)の添付ファイルは絶対に実行せず、削除してください。
このウイルスは、ウイルス自身を添付したメールを自動送信することにより感染を広めるメール機能悪用ウイルスです。
メールに添付されたウイルスファイル(一部を除きEXEファイル)をダブルクリック(実行)することにより感染します。
また、このウイルスは、自分自身を改造し機能を追加する仕組みを持っています。(この機能を持つ最初のウイルスは、1999年12月に初めて発見されたバビロニアウイルスです。)このため、現在は感染パソコンを破壊するような症状は起こしませんが、今後、破壊等の発病機能を持った亜種、変種が出現する可能性があるので、注意が必要です。
ウイルスの概要
このウイルスは、Windows32ビット環境下で動作するウイルスです。
このウイルスは、一部で報道されているような、メール一斉送信タイプのものではありません。
(注:メール一斉送信タイプとはアドレス帳に登録されているアドレスを使ってメールを送信するもので、LOVELETTERやStagesウイルスなどがあります。)
また、W32/MTXのように、感染したパソコンからメールを送信すると同じ相手に2通目のウイルス付きメールを自動送信するものでもありません。
このウイルスは、受信メールやWebサイトからメールアドレスを取得してメールを送信します。
従って、ウイルスメールは単独で届きます。また、メールをやりとりしたことのない、まったく関係のない相手方から届くことがあります
感染したパソコンが日本語環境の場合は、差出人、件名、本文が空白ののっぺらぼうメールで、添付ファイルは「ランダムな 8文字のアルファベット」+「.exe」の名称となります。
ただし、海外から送信されたメールは、差出人が、Hahahaで、件名、本文等が入ります。(表参照)
本ウイルスは、日本では2000年11月にIPA/ISEC に最初の相談がありました。世界では 9月に最初に発見されています。
追加情報(2001年1月5日追加)
9月24日または、2001年の毎日毎時59分に、画面の中央に渦巻きを表示する亜種も発見されています。
参考:
- http://www.jcsa.or.jp/w32Hybrs.html
- http://www.sophos.co.jp/virusinfo/analyses/w32hybrisc.html
- http://inet.trendmicro.co.jp/virusinfo/
default3.asp?VName=TROJ%5FHYBRIS%2EP33
- 日本語環境のマシンからウイルスが送信したメール
- 英語環境のマシンからウイルスが送信したメール
| 感染側の環境 | 差出人 | 件名 | 本文 | 添付ファイル名 |
|---|---|---|---|---|
| 日本語 | 空白 | 空白 | 空白 | (ファイルの一例) FHBMFMFH.exe LJIGFKLJ.exe |
| 英語 | Hahaha | Snowhite and the Seven Dwarfs - The REAL story! | Today, Snowhite was turning 18.・・・(略) | dwarf4you.exe joke.exe midgets.scr sexy virgin.scr |
| フランス語 | Hahaha | Les 7 coquir nains | C"etait un jour avant son dix・・・(略) | blanche.scr blancheneige.exe nains.exe sexynain.scr |
| スペイン語 | Hahaha | Enanito si, pero con que pedazo! | Faltaba apenas un dia para ・・・(略) | blanca de nieve.scr enanito fisgon.exe enano.exe enano porno.exe |
| ポルトガル語 | Hahaha | Branca de Neve porno! | Faltava apenas um dia para ・・・(略) | anao porno.scr atchim.exe branca de neve.scr dunga.scr |
予防対策
今回のウイルスも、「メールの添付ファイルを不用意に実行しない」というウイルス対策の基本を確実に守れば被害に遭わずにすみます。
以下に予防のための対策を示します。
- メールの添付ファイルを不用意に実行しない。
メールに添付されている不審なファイルを実行(ダブルクリック)しないこと。 - 最新のワクチン及びウイルス定義ファイルを利用する。
各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
感染確認方法
WindowsのSystemフォルダに、意味不明な名称(8文字)と拡張子のファイルが複数存在する。
修復に関する情報
改変されたWsock32.dllファイルをオリジナルファイルと入れ替えることで修復します。
(オリジナルのWsock32.dllファイルは、WindowsのCD等に収録されています。入れ替えの手順等については、マニュアルを参照されるか、お使いのパソコンまたはマイクロソフト社のサポートセンターにお問い合わせください。)
また、初期化からシステム等を入れ直すことでも修復はできますが、工場出荷時の状態に戻りますので、インターネット接続などの設定を再度行う必要があります。(ハードディスクの初期化、システム等の再インストールの方法については、マニュアルを参照されるか、お使いのパソコンまたはソフトウェアのメーカーにお問い合わせください。)
注)修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。
関連情報掲載サイト
- http://inet.trendmicro.co.jp/virusinfo/
default3.asp?VName=TROJ%5FHYBRIS%2EA - http://www.f-secure.co.jp/v-descs/v-descs2/hybris.htm
- http://www.symantec.com/region/jp/sarcj/data/w/w95.hybris.gen.html
- http://www.nai.com/japan/virusinfo/virH.asp?v=W32/Hybris.gen@M&a=H
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2001年 1月 5日 | 掲載 |
|---|---|
| 2002年 1月 8日 | ワクチンベンダー情報へのリンク修正 |