Internet Watch logo
記事検索
最新ニュース

「Sober!M681」が感染拡大中、FBIやCIAを騙るメールに注意


 マカフィーは23日、メールの添付ファイルで感染を拡大するワーム型ウイルス「W32/Sober@MM!M681(以下、Sober!M681)」を危険度“中”に引き上げて警告した。米国時間の21日に発見された同ウイルスが、22日に入って大量のウイルスメールを送信し始めたという。

 Sober!M681のウイルスメールは英語とドイツ語のものがあり、英語のものでは、例えばFBIやCIAを騙ったメールなどが確認されている。これはサブジェクトが「You visit illegal websites」で、本文には「我々は、あなたのIPアドレスのログを30以上の違法サイト上で確認している」などと英語で書かれており、添付ファイルの質問に回答するよう促す。

 添付ファイルはZIP形式のもので、これを実行するとSober!M681に感染する仕組みだ。感染すると、Windowsがインストールされているディレクトリに自身をコピーするほか、レジストリを改変。さらにPC内の各種ファイルからメールアドレスを収集し、上記のウイルスメールを送信する。差出人は詐称する。

 このウイルスについては、US-CERTと非営利法人の米MITREらが進めている活動「Common Malware Enumeration(CME)」において、ウイルスの共通ID「CME-681」が割り当てられた。マカフィーによる呼称は、これを反映したものだ。

 CME-681に分類されるウイルスは、トレンドマイクロでは「WORM_SOBER.AG」、シマンテックでは「W32.Sober.X@mm」と呼んでいる。トレンドマイクロは日本時間の22日朝、米国などで感染が確認されたとして“イエローアラート”で警告していた。また、シマンテックでも危険度を5段階中の“3”に引き上げて警告している。

 シマンテックによると、このウイルスは同社の「LiveUpdate」が起動されるたびにウイルスが実行されるようファイルを上書きしたり、Windows XP SP2の「セキュリティセンター」を無効化するという。また、トレンドマイクロによれば、マイクロソフトが提供している「悪意のあるソフトウェアの削除ツール」のプロセスを検索して停止させるとしている。

 マカフィー、トレンドマイクロ、シマンテックでは、Sober!M681に対応した駆除ツールを各社サイトで提供している。そのほかのセキュリティベンダーにおけるCME-681に分類されたウイルスの呼称は、ソフォスが「W32/Sober-Z」、F-Secureが「Sober.Y」、Kasperskyが「Email-Worm.Win32.Sober.y」など。


 なお、トレンドマイクロの感染状況データによると、日本時間の24日19時30分現在、世界における22日以降の感染数が7,979件に達した。米国が5,645件と大多数を占めるが、中国や欧州でも感染を多数確認している。地域別の感染率では、欧州で2.8%、北米で1.3%に達している。

 F-Secureの公式ブログによれば、このSober亜種について「今のところ、メールワームでは今年最大のアウトブレイク」と述べている。同社によれば、これだけ感染が拡大した理由として、FBIやCIA、BKA(ドイツ連邦刑事庁)からの警告メールを装っているためではないかと指摘している。これを受けてFBIでも22日、注意を促す告知を出している。なお、Soberの亜種はすべて、ドイツのメールアドレスにはドイツ語、それ以外のアドレスには英語のウイルスメールを送信するという。

 24日には、日本の情報処理推進機構セキュリティセンター(IPA/ISEC)もSober!M681について緊急対策情報を発表。ウイルス対策ソフト各社の情報をリンクするとともに、ウイルス定義ファイルのアップデートなどを呼びかけている。また、IPA/ISECにおけるSober!M681のウイルスメールの受信件数は、日本時間の22日22時台に初めて検知した後、24日の1時台から急増したという。


関連情報

URL
  マカフィーのウイルス情報「W32/Sober@MM!M681」
  http://www.mcafee.com/japan/security/virS.asp?v=W32/Sober@MM!M681
  CME List(英文)
  http://cme.mitre.org/data/list.html#681
  トレンドマイクロのウイルス情報「WORM_SOBER.AG」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.AG
  シマンテックのウイルス情報「W32.Sober.X@mm」
  http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.sober.x@mm.html
  F-secure公式ブログの該当記事(英文)
  http://www.f-secure.com/weblog/archives/archive-112005.html#00000715
  FBIのニュースリリース
  http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm
  IPA/ISECのニュースリリース
  http://www.ipa.go.jp/security/topics/newvirus/sober.html

関連記事
「お前が違法サイトにアクセスしたのはバレてるぞ」FBIを騙るメール(2005/02/24)


( 永沢 茂 )
2005/11/24 20:10

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.