新種ウイルス「W32/Sobig」に関する情報
最終更新日:2003年1月16日
更新履歴
2003年1月16日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
このウイルスは、メールの添付ファイルを介して感染を拡げます
下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除してください。
また、このウイルスは1月9日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。
概要
このウイルスは、「トロイの木馬型」で、自分自身のコピーをメールの添付ファイルとして感染範囲を拡げる活動を行います。感染すると、Windowsのアドレス帳や特定の拡張子(txt、eml、html、htm、dbx、wab)のファイルからメールアドレスを収集して、取得できたアドレス宛に以下の内容のメールを送信します。
- 件名:
- Re: Movies
- Re: Sample
- Re: Document
- Re: Here is that sample
- 本文:
Attached file: - 添付ファイル名:
- Movie_0074.mpeg.pif
- Document003.pif
- Untitled1.pif
- Sample.pif
- 送信者アドレス:
big@boss.com
また、自分自身をWindowsフォルダにwinmgm32.exeという名前でコピーします。そしてレジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
にWindowsフォルダのwinmgm32.exeへのフルパスを登録します。
ウイルスは、ネットワーク上で共有されたフォルダを検索して、下記フォルダにもウイルス自身をコピーします。(ただし、このフォルダ名は日本語環境のパソコンには存在しません。)
Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\
対応方法
メールごと添付ファイルを削除してください。
最新の検索エンジン・パターンファイルにアップデートして検査を行ってください。
1個のプログラムのため「駆除」できません。検知した場合は、ファイルを「削除」 してください。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除とレジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、レジストリの修正は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- アンラボ:
http://japan.ahnlab.com/virusinfo/view.asp?seq=317 - コンピュータアソシエイツ:
http://www.caj.co.jp/virusinfo/2003/win32_sobig_b.htm - シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.a@mm.html - ソフォス:
http://www.sophos.co.jp/virusinfo/analyses/w32sobiga.html - トレンドマイクロ:
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_SOBIG.A - 日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/Sobig.htm - 日本ネットワークアソシエイツ:
http://www.nai.com/japan/security/virS2003.asp?v=W32/Sobig@MM
ウイルス対策のトップページはこちらをご覧ください。
更新履歴
| 2003年 1月 16日 | 掲載 |
|---|