平成11年11月12日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
メールを開くだけで感染・発病するワーム(広義のウイルスに属する)が確認されました。現時点では、被害報告はありませんが、今後は十分警戒することが必要です。
●注意事項
1.BubbleBoyは、InternetExplorer5のセキュリティホールを利用しています。
下記サイトにセキュリィティホールの修正プログラムに関する情報が掲載されていますので、参照の上、速やかに適用(パッチを当てる)して下さい。
(マイクロソフト社のサイト:http://www.microsoft.com/windows/ie_intl/ja/security/eyedog.htm)
パッチを当てた上で、適切なセキュリティレベル設定(注)を行えば、このウイルスの自動実行を防止できます。
2.「"BubbleBoy is back"」という表題のメールは速やかに削除して下さい。
3.各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新して下さい。
●ウイルスの概要
このウイルスはHTML形式のメールに埋め込まれており、InternetExplorer5 、WSH(注:WindowsScriptingHost、Windows98、2000では標準で装備されています。)がインストールされている場合、マイクロソフト社のOutlook、OutlookExpressでメールを開いたとき(OutlookExpressの場合は、「プレビューウインドウ」を使ったときでも)に動作を行い、UPDATE.HTAという名称のファイルをC:\Windows\StartMenu\Programs\Startup\
(英語環境の場合)に作成し、次のWindows起動時に実行されるようにする。
UPDATE.HTAが実行されると、レジストリを変更し、所有者を"BubbleBoy"に、組織を"Vandelay Industries"に変更する。
次に、アドレス帳に登録されている全てのメールアドレス宛に、ウイルスを埋め込んだメールを送信する。
(現在確認がとれているのは、Outlook)
なお、メールが送信されるのは、一回だけである。
送信されるメールは、次のとおり。
From:感染者の名前
Subject:BubbleBoy is back!
Body:The BubbleBoy incident,pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm
現時点で発見されたウイルスは日本語環境では動作はしないが、今後変種が作成される可能性もあるので、注意が必要である。
●下記サイトにも情報が掲載されていますので、御参照下さい。
注)適切なセキュリティレベル設定について
InternetExplorer5のツール/インターネットオプション/セキュリティタグ/レベルのカスタマイズの「ActiveXコントロールとプラグイン」の設定を「有効にする」にしておくと、パッチを当ててあっても、今回発見されたようなウイルスは自動実行されてしまう。
ウイルス対策のトップページはこちらをご覧ください。
Copyright © 1999 Information-technology Promotion Agency, Japan. All rights reserved.