BubbleBoyに関する情報

平成11年11月12日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

メールを開くだけで感染・発病するワーム（広義のウイルスに属する）が確認されました。現時点では、被害報告はありませんが、今後は十分警戒することが必要です。

●注意事項

　１．BubbleBoyは、InternetExplorer５のセキュリティホールを利用しています。
　　下記サイトにセキュリィティホールの修正プログラムに関する情報が掲載されていますので、参照の上、速やかに適用（パッチを当てる）して下さい。
　　（マイクロソフト社のサイト：http://www.microsoft.com/windows/ie_intl/ja/security/eyedog.htm）
　　パッチを当てた上で、適切なセキュリティレベル設定（注）を行えば、このウイルスの自動実行を防止できます。

　２．「"BubbleBoy is back"」という表題のメールは速やかに削除して下さい。

　３．各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新して下さい。

　　　主なワクチンベンダーのWebサイト等一覧

●ウイルスの概要

このウイルスはＨＴＭＬ形式のメールに埋め込まれており、InternetExploreｒ５　、ＷＳＨ（注：WindowsScriptingHost、Windows98、2000では標準で装備されています。）がインストールされている場合、マイクロソフト社のOutlook、OutlookExpressでメールを開いたとき（OutlookExpressの場合は、「プレビューウインドウ」を使ったときでも）に動作を行い、ＵＰＤＡＴＥ．ＨＴＡという名称のファイルをC:\Windows\StartMenu\Programs\Startup\ （英語環境の場合）に作成し、次のWindows起動時に実行されるようにする。
UPDATE.HTAが実行されると、レジストリを変更し、所有者を"BubbleBoy"に、組織を"Vandelay　Industries"に変更する。
次に、アドレス帳に登録されている全てのメールアドレス宛に、ウイルスを埋め込んだメールを送信する。
（現在確認がとれているのは、Outlook）
なお、メールが送信されるのは、一回だけである。

送信されるメールは、次のとおり。
From：感染者の名前
Subject：BubbleBoy is back！
Body：The　BubbleBoy incident，pictures and sounds
　　　 http://www.towns.com/dorms/tom/bblboy.htm

現時点で発見されたウイルスは日本語環境では動作はしないが、今後変種が作成される可能性もあるので、注意が必要である。

●下記サイトにも情報が掲載されていますので、御参照下さい。

• http://www.f-secure.co.jp/v-descs/v-descs2/bubb-boy.htm
• http://www.nai.com/japan/virusinfo/virB.asp?v=VBS/Bubbleboy&a=B
• http://www.trendmicro.co.jp/virusnews/vbs_bubbleboy.htm

注）適切なセキュリティレベル設定について
　InternetExplorer５のツール/インターネットオプション/セキュリティタグ/レベルのカスタマイズの「ActiveXコントロールとプラグイン」の設定を｢有効にする｣にしておくと、パッチを当ててあっても、今回発見されたようなウイルスは自動実行されてしまう。

　　　　　　ウイルス対策のトップページはこちらをご覧ください。

Copyright © 1999 Information-technology Promotion Agency, Japan. All rights reserved.