「W32/Bugbear」ウイルスの亜種に関する情報
最終更新日:2003年 6月 9日
更新履歴
2003年 6月 6日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
W32/Bugbear の亜種に関する届出が増加しています。このウイルスは特定のプログラムファイルに感染するため、感染後はバックアップからファイルを入れ替えるなどの修復作業が必要になります。下記、予防策、対応方法の項目を参照し、感染被害に遭わないよう注意してください。
また、6月5日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
このウイルスは、Internet Explorerの既知のセキュリティホールを悪用したウイルスで、メールの添付ファイルを介して感染を拡げます。このウイルスが添付されたメールを受け取ると、Outlookではメールを開いただけで、Outlook Expressではプレビューしただけでも感染しますので、下記に示す予防策を実施してください。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
また、このウイルスは6月 5日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
予防策
ブラウザ(Internet Explorer)にパッチを適用する。:
Internet Explorer 5.01の場合、SP2 を適用する。
Internet Explorer 5.5 の場合、SP2 を適用する。
(パッチの適用方法については、マイクロソフト社のサイトでご確認ください。
マイクロソフト社 「ホームユ ーザー向け セキュリティ対策 早わかりガイド」のページ )
あるいは最新の Internet Explorer 6.0 をインストールする。
(注: 必ず、Outlook Expressを含む標準構成以上でセットアップすること。)
概要
このウイルスは、「トロイの木馬型」で、自分自身のコピーをメールの添付ファイルとして拡大する活動を行います。
感染すると、Windowsのスタートアップフォルダにウイルスをランダムなファイル名+.exeとしてコピーします。これにより、パソコン起動時にウイルスが実行されるようになります。また、下記のプログラムファイルを検索し、発見すると自分自身を追記して感染します。
- scandskw.exe
- regedit.exe
- mplayer.exe
- hh.exe
- notepad.exe
- winhelp.exe
- Internet Explorer¥iexplore.exe
- adobe¥acrobat 5.0¥reader¥acrord32.exe
- WinRAR¥WinRAR.exe
- Windows Media Player¥mplayer2.exe
- Real¥RealPlayer¥realplay.exe
- Outlook Express¥msimn.exe
- Far¥Far.exe
- CuteFTP¥cutftp32.exe
- Adobe¥Acrobat 4.0¥Reader¥AcroRd32.exe
- ACDSee32¥ACDSee32.exe
- MSN Messenger¥msnmsgr.exe
- WS_FTP¥WS_FTP95.exe
- QuickTime¥QuickTimePlayer.exe
- StreamCast¥Morpheus¥Morpheus.exe
- Zone Labs¥ZoneAlarm¥ZoneAlarm.exe
- Trillian¥Trillian.exe
- Lavasoft¥Ad-aware 6¥Ad-aware.exe
- AIM95¥aim.exe
- Winamp¥winamp.exe
- DAP¥DAP.exe
- ICQ¥Icq.exe
- kazaa¥kazaa.exe
- winzip¥winzip32.exe
メール送信活動:
受信トレイに保存されているメールや特定の拡張子のファイル(mmf、nch、mbx、eml、tbb、dbx、osc)からメールアドレスを収集して、取得できたすべてのアドレス宛に、以下の内容のメールを送信します。送信するメールの差出人アドレスを詐称します。
- 件名: ウイルスの保有するリストからランダムに選択
- 本文:空白、もしくはランダム
- 添付ファイル名:
「readme」、「Setup」、「Card」、「Docs」、「news」、「image」、「images」、「resume」、 「video」、「song」、「pics」、「music」、「data」、「photo」
+.gif、.jpg、.jpeg、.htm、.html、.c、.cpp、.txt、.diz、.h、.bat、.ini、.reg
+.scr、.exe、.pif
もしくは
MyDocumentsフォルダにあるファイル名 + .scr、.exe、.pifまた、既存のメッセージにウイルスを添付して返信や転送することがあります。
さらに、以下の活動も行います。
- i) ネットワークで共有されているパソコンに感染を拡げます。この際、パソコンとプリンタを区別しないため、共有プリンタから無意味なデータが出力される可能性があります。
- ii) セキュリティ製品(ワクチンソフト、ファイアウォール)の動作を終了させます。
- iii) キーロガーとバックドアプログラムがインストールされ、ポート1080で外部からのコマンド入力を待ちます。バックドアからアクセスされるとファイルの削除やキーボードからの入力情報が盗まれる可能性があります。
対応方法
予防策を実施した上で、当該メールごと削除してください。
最新の検索エンジン・パターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認してください。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」してください。
修復方法
感染してしまった場合は、最新の定義ファイルに更新したワクチンソフトによって感染ファイルを特定し、ファイルの削除、または駆除することが必要です。感染ファイルからウイルスの駆除ができない場合は、感染ファイルを削除して、オリジナルのCD等から入れ替えることで対処できます。
なお、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。
修復ツール提供サイト
- コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_bugbear_b.htm - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.bugbear.b@mm.removal.tool.html - トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/stinger.asp
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アラジンジャパン:
http://www.aladdin.co.jp/esafe/virus/v_all/Win32_Bugbear_b.html - アンラボ:
http://japan.ahnlab.com/virusinfo/view.asp?seq=697 - コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_bugbear_b.htm - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear.b@mm.html - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32bugbearb.html - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=PE_BUGBEAR.B - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/bugbearb.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Bugbear.b@MM
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2003年 6月 6日 | 掲載 |
|---|---|
| 2003年 6月 9日 | 緊急対策情報として掲載 情報追加 |