【セキュリティ】
ゲイツ会長からのメールを装うウイルス「Sobigの亜種」
■URL
http://www.symantec.com/region/jp/sarcj/data/w/w32.sobig.c@mm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.C
シマンテック株式会社や株式会社トレンドマイクロなどウイルス対策ベンダー各社は1日、米MicrosoftのBill Gates会長からのメールを装うウイルス「Sobig.C」を感染が拡大しているとして警告した。シマンテックでは、危険度を5段階中の「3」。トレンドマイクロでは、ダメージ度と感染力を“高”と設定している。
「Sobig.C」は、2003年1月に発見されたウイルス「Sobig」の亜種。「.HTML」や「.TXT」などのローカルファイルやWindowsのアドレス帳から宛先アドレスを収集し、自分自身を添付して送信する。感染後の活動などの多くは「Sobig」と共通しているが、送信元アドレスに「bill@microsoft.com」を詐称して送信してくる点が特徴。
Sobig.Cに感染すると、ファイル名を「MSCVB32.EXE」としてWindowsフォルダに自分自身をコピーした後、レジストリを改変する。その後、感染したPCの拡張子が「.wab」「.dbx」「.htm」「.html」「.eml」「.txt」のファイルの中から発見した全メールアドレスに対して自分自身をコピーしたメールを送信する。送信の際の、差出人メールアドレスや、件名、添付ファイルは以下の通り。
差出人:
bill@microsoft.com
件名:
- Re: Screensaver
- Re: Movie
- Re: Submited (004756-3463)
- Re: 45443-343556
- Re: Approved
- Approved
- Re: Your application
- Re: Application
添付ファイル:
拡張子「.scr」や「.pif」のファイル
このメール送信は、自分自身のSMTPサーバーで行なうため、メーラーの送信履歴等には残らない。また、Sobig.Cは共有ファイル上に自分自身をコピーすることによって、ネットワーク上での感染活動も行なう。ただし、このウイルスは2003年6月8日で活動を停止するようにプログラムされている。
万が一感染した場合は、ウイルス対策プログラムでウイルス検索を行ない、「Sobig.C」で検出したファイルや感染後ウイルスによって作成されたフォルダなどをすべて削除し、その後レジストリを修正する必要がある。
◎関連記事
■Microsoftからのメールを装い大量メール配信などを行なうウイルス
■サブジェクト欄が「Re: Movies」や「Re: Document」のウィルスに注意
(2003/6/2)
[Reported by otsu-j@impress.co.jp]
|