HOME情報セキュリティ情報セキュリティ対策ウイルス対策W32/Sobigの亜種(別名:W32/Palyh)に関する情報

本文を印刷する

情報セキュリティ

W32/Sobigの亜種(別名:W32/Palyh)に関する情報

2003年 5月 19日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

このウイルスは、メールの添付ファイルを介して感染を拡げます。
下記概要に示すようなマイクロソフト社のサポートを装ったメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。

マイクロソフト社のPalyhに関する情報:
http://www.microsoft.com/japan/technet/security/virus/palyh.asp

また、このウイルスは5月18日に出現していますので、 それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。 各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

概要

このウイルスは、「トロイの木馬型」で、自分自身のコピーをメールの添付ファイルとして 感染範囲を拡げる活動を行います。感染すると、Windowsのアドレス帳や特定の拡張子 (txt、eml、html、htm、dbx、wab)のファイルからメールアドレスを収集して、 取得できたアドレス宛に以下の内容のメールを送信します。

  • 送信者アドレス:support@microsoft.com
  • 件名:
    • Re: My application
    • Re: Movie
    • Cool screensaver
    • Screensaver
    • Re: My details
    • Your password
    • Re: Approved (Ref: 3394-65467)
    • Approved (Ref: 38446-263)
    • Your details
    いずれかひとつ
  • 本文:All information is in the attached file
  • 添付ファイル名:
    • your_details.pi
    • ref-394755.pi
    • approved.pi
    • password.pi
    • doc_details.pi
    • screen_temp.pi
    • screen_doc.pi
    • movie28.pi
    • application.pi
    ( ファイルタイプは pi の場合と pif の場合があります)

また、自分自身をWindowsフォルダにmsccn32.exeという名前でコピーします。そしてレジストリの

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tray

及び

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tray

にWindowsフォルダのmsccn32.exeへのフルパスを登録します。

他に、MSDBRR.INI と HNKS.INI というファイルをWindowsフォルダに 作成します。

対応方法

メールごと添付ファイルを削除してください。

最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
1個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。

修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除レジストリの修正が必要となります。 手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、 コンピュータに関する高度な知識が必要であり、レジストリの修正は少しでも間違えると、 コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。 各ベンダーが記述している「使用上の注意」をよく読み自己の責任において使用してください

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2003年 5月 19日 掲載
2003年 5月 27日 リンク追加
2003年 5月 28日 名称変更