「W32/Sobig」の亜種 (Sobig.F) に関する情報
最終更新日:2003年 8月22日
更新履歴
2003年 8月 22日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
※追記すべき情報がある場合には、その都度このページを更新する予定です。
「W32/Sobig」の亜種 (Sobig.F) に関する届出が増加しています。
(※2003年 8月22日17:00現在、相談・届出は累計で、100件以上)
下記、対応方法の項目を参照し、感染被害に遭わないよう注意してください。
8月20日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーの Web サイトを参照して、最新のウイルス定義ファイルに更新してください。
このウイルスは、メールの添付ファイルを介して感染を拡げます。
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
概要
このウイルスは、「トロイの木馬型」で、自分自身のコピーをメールの添付ファイルとして感染範囲を拡げる活動を行います。感染すると、Windowsのアドレス 帳や特定の拡張子(.txt、.eml、.html、.htm、.dbx、.wab、.hlp、.mht)のファイルからメールアドレスを収集して、取得できたアドレス宛に以下の内容のメールを送信します。
- 件名:以下のいずれかひとつ
- Re: Thank you!
- Thank you!
- Re: Details
- Re: Re: My details
- Your details
- Re: Approved
- Re: Your application
- Re: Wicked
- 本文:以下のいずれかひとつ
- See the attached file for details.
- Please see the attached file for details.
- 添付ファイル名:以下のいずれかひとつ
- your_document.pif
- document_all.pif
- thank_you.pif
- your_details.pif
- details.pif
- document_9446.pif
- application.pif
- wicked_scr.scr
- movie0045.pif
- 送信者アドレス:感染コンピュータから抽出したメールアドレスで詐称する場合があります。
また、自分自身を Windows フォルダに winppr32.exe という名前でコピーします。
そしてレジストリの
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
及び
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
にWindowsフォルダのwinppr32.exe へのフルパスを登録します。
このウイルスは 2003年 9月10日に活動を停止します。
このワームが感染する可能性がある対象 OS
- Windows 95
- Windows 98
- Windows 98 SE
- Windows Me
- Windows NT
- Windows 2000
- Windows XP
対応方法
メールごと添付ファイルを削除してください。
最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
1個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除とレジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、レジストリの修正は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アンラボ:
http://japan.ahnlab.com/virusinfo/view.asp?seq=738 - コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_sobig_f.htm - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.f@mm.html - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32sobigf.html - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_SOBIG.F - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/sobigf.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/security/virS.asp?v=W32/Sobig.f@MM
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2003年 8月22日 | 修復ツール提供サイトの追加。相談・届出累計件数を更新。 |
|---|---|
| 2003年 8月22日 | 掲載。 |