Information-technology Promotion Agency, Japan
本文へ
 IPA

トップ|電子申請|お問い合わせ|サイトマップ
独立行政法人 情報処理推進機構






セキュリティセンター 誰もが「安心」してコンピュータを利用できる環境を構築するために、情報セキュリティ対策の強化・整備を推進します。







English



緊急対策情報



届出


届出ウイルス一覧




ウイルスの届出




不正アクセスの届出




脆弱性関連情報の届出





情報セキュリティ対策


ウイルス対策




新種ウイルス情報




不正アクセス対策




脆弱性関連情報の取扱い




読者層別 対策実践情報





暗号技術


CRYPTREC





セキュリティ評価・認証


JISEC





セミナー・イベント



資料・報告書等


調査・研究報告書




開発成果紹介




セキュリティ関連RFC




PKI関連技術情報





公募



IPA/ISEC PGP公開鍵



サポート情報


ウイルスデータベース




用語集




FAQ(よくある質問)




セキュリティ関連リンク





IPAセキュリティセンターについて




IPAトップ>セキュリティセンター>ウイルス対策>記事


W32/Sobigの亜種(別名:W32/Palyh)に関する情報


最終更新日:2003年 5月 28日
更新履歴


2003年 5月 19日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)



このウイルスは、メールの添付ファイルを介して感染を拡げます。
下記概要に示すようなマイクロソフト社のサポートを装ったメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、 メールごと削除してください。

・マイクロソフト社のPalyhに関する情報:
http://www.microsoft.com/japan/technet/security/virus/palyh.asp

また、このウイルスは5月18日に出現していますので、 それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。 各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

ワクチンソフトに関する情報



概要

このウイルスは、「トロイの木馬型」で、自分自身のコピーをメールの添付ファイルとして 感染範囲を拡げる活動を行います。感染すると、Windowsのアドレス帳や特定の拡張子 (txt、eml、html、htm、dbx、wab)のファイルからメールアドレスを収集して、 取得できたアドレス宛に以下の内容のメールを送信します。

送信者アドレス:support@microsoft.com

件名: Re: My application
        Re: Movie
        Cool screensaver
        Screensaver
        Re: My details
        Your password
        Re: Approved (Ref: 3394-65467)
        Approved (Ref: 38446-263)
        Your details
いずれかひとつ

本文:All information is in the attached file

添付ファイル名: your_details.pi
        ref-394755.pi
        approved.pi
        password.pi
        doc_details.pi
        screen_temp.pi
        screen_doc.pi
        movie28.pi
        application.pi
( ファイルタイプは pi の場合と pif の場合があります)
また、自分自身をWindowsフォルダにmsccn32.exeという名前でコピーします。そしてレジストリの

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tray

及び

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tray

にWindowsフォルダのmsccn32.exeへのフルパスを登録します。

他に、MSDBRR.INI と HNKS.INI というファイルをWindowsフォルダに 作成します。




対応方法

メールごと添付ファイルを削除してください。

最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
1個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。



修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除レジストリの修正が必要となります。 手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、 コンピュータに関する高度な知識が必要であり、レジストリの修正は少しでも間違えると、 コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。 各ベンダーが記述している「使用上の注意」をよく読み自己の責任において使用してください

修復ツール提供サイト

シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.b.removal.tool.html
トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700




参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

アラジンジャパン:
http://www.aladdin.co.jp/esafe/virus/v_all/Win32_Sobig_b.html
アンラボ:
http://japan.ahnlab.com/virusinfo/view.asp?seq=676
コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_palyh_a.htm
シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.b@mm.html
ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32palyha.html
トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.B
日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/palyh.htm
日本ネットワークアソシエイツ: http://www.nai.com/japan/virusinfo/virS.asp?v=W32/Sobig.b@MM


ウイルス対策のトップページこちらをご覧ください。



更新履歴

2003年 5月 19日 掲載
2003年 5月 27日 リンク追加
2003年 5月 28日 名称変更





ご利用条件


Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004