新種ウイルス「W32/Bugbear」に関する情報
最終更新日:2002年11月11日
更新履歴
2002年10月3日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
2002年11月8日現在、W32/Bugbearに関する相談・届出が、10月より累計で400件以上となったため、緊急対策情報として掲載しました。
このウイルスは、InternetExplorerの既知のセキュリティホールを悪用したウイルスで、メールの添付ファイルを介して感染を拡げます。このウイルスが添付されたメールを受け取ると、Outlookではメールを開いただけで、OutlookExpressではプレビューしただけでも感染しますので、注意してください。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
また、このウイルスは10月1日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
予防策
ブラウザ(InternetExplorer)にパッチを適用する。:
- InternetExplorer 5.01の場合、SP2 を適用する。
- InternetExplorer 5.5 の場合、SP2 を適用する。
(パッチの適用方法については、マイクロソフト社のサイトでご確認ください。
マイクロソフト社 「ホームユーザー向け セキュリティ対策早わかりガイド」のページ )
あるいは最新の InternetExplorer 6.0 をインストールする。
(注: 必ず、Outlook Expressを含む標準構成以上でセットアップすること。)
概要
このウイルスは、「トロイの木馬型」で、自分自身のコピーをメールの添付ファイルとして拡大する活動を行います。感染すると、受信トレイや送信トレイ、及び特定の拡張子のファイル(tbb,eml,mbx,nch等)からメールアドレスを収集して、取得できたすべてのアドレス宛に、以下の内容のメールを送信します。
- 件名:「Greets!」、「Hi!」、「$150 FREE Bonus!」、「Your Gift」、Tools For Your Online Business」、「News」、「its easy」、「SCAM alert!!!」、「new reading」、「25 merchants and rising」、「empty account」、「My eBay ads」、「Market Update Report」、「fantastic」、「bad news」、「New Contests」、「Get a FREE gift!」、「Report」、「Stats」、「Interesting...」、「various」、「history screen」、「Just a reminder」、「hmm..」 等
- 本文:空白、もしくはランダム
- 添付ファイル名:「readme」、「Card」、「news」、「images」、「resume」、「video」、「song」+ .scr .exe .pif
もしくは
MyDocumentsフォルダにあるファイル名 + .scr .exe .pif (2重拡張子になる)
このウイルスは、差出人アドレスを詐称することがあります。
また、以下の活動も行います。
- i) ネットワークで共有されているパソコンに感染を拡げます。
- ii) アンチウイルス製品(ワクチンソフト、ファイアウォール)の動作を終了させます。
- iii)バックドアが仕掛けられ、キー入力情報が第三者に取得される可能性があります。
対応方法
メールごと添付ファイルを削除してください。
最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
一個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。
修復方法
感染してしまった場合の修復方法は、レジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/
w32.bugbear@mm.html - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32bugbeara.html - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_BUGBEAR.A - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/tanatos.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Bugbear@MM
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2002年10月 3日 | 掲載 |
|---|---|
| 2002年10月 8日 | 修復ツール提供サイト追加 |
| 2002年11月11日 | 緊急対策情報に掲載 |