Internet Watch logo
記事検索
最新ニュース

「Re: Details」や「Re: That movie」などには要注意〜Sobig亜種が氾濫


編集部で受信した「Sobig.F」。差出人を詐称している点やサブジェクトに「Re:」が入っている点が特徴だ
 トレンドマイクロやシマンテックなどのウイルス対策ベンダー各社は19日、独自のSMTPサーバーを利用して大量にメールを送信するウイルス「Sobig.F」を危険度が高いとして警告した。トレンドマイクロでは危険度“中”、シマンテックは危険度“3”として警告している。

 Sobig.Fは、2003年1月に発見されたウイルス「Sobig」の亜種だ。独自のSMTPサーバーを利用して大量にメールを送信するが、9月10日で活動を停止するようにプログラムされている点が特徴だ。

 Sobig.Fに感染すると、Windows上に自分自身を「winppr32.exe」としてコピーし、「winsst32.dat」を作成する。そしてレジストリを改変し、Windows起動時に自分自身が起動するように変更する。また、アクセス可能な共有ネットワークに自分自身をコピーしようとする。

 そのほか、感染したPCのUDPポート995〜999を開くことによって、新たな悪意のあるファイルをダウンロードしようと試みる。また、「.dbx」「.txt」「.html」など8種類の拡張子をもつファイルからすべてのメールアドレスに対して以下の内容のメールを送信する。

差出人: 詐称したアドレス、admin@internet.com

件名:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

本文:
・See the attached file for details
・Please see the attached file for details.

添付ファイル:
application.zip (contains application.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
など9種類の中からランダムに選択。拡張子はZIPまたはPIF

 感染の疑いがある場合には、まず共有ネットワークでの感染拡大を防ぐためにネットワーク接続を切断し、Windows XP/Meでは「システムの復元オプション」を無効する。そして、ウイルス対策ソフトの定義ファイルを最新版に更新した上で、Windows Me/98/95の場合はSafeモードで再起動、Windows XP/2000/NTの場合はウイルスのプロセス終了後、システム全体をスキャンし、「Sobig.F」として検出されたファイルをすべて削除すればよい。また、レジストリに追加された値も削除する必要がある。


関連情報

URL
  トレンドマイクロの情報
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F
  シマンテックの情報
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.html
  関連記事:サブジェクト欄が「Re: Movies」や「Re: Document」のウィルスに注意
  http://internet.watch.impress.co.jp/www/article/2003/0114/sobig.htm


( 大津 心 )
2003/08/20 12:25

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.