「patch.exe」というファイル名の,メールを使って感染を広げるウイルスが国内で広まっている。メールの送信先アドレスが「.jp」で終わっている場合,件名が日本語になることが特徴。ウイルスの実体であるpatch.exeを実行しなければ,被害を受けることはない。現時点では,このウイルスに対応していないウイルス対策ソフトも多いので,実行しないよう注意が必要である。

 patch.exeは単体の実行形式ファイルである。patch.exeを実行すると,感染したパソコンのWindowsアドレス帳(.wab)からメール・アドレスを取得し,登録されているアドレスすべてに,patch.exeを添付したメールを送信する。

 patch.exeはメール送信(SMTPクライアント)機能を持っており,パソコンに登録されているメール・サーバー(SMTPサーバー)経由で,ウイルス・メールを送信する。そのため,どのようなメール・ソフトを使っていても被害を受けるし,メール・ソフトに送信履歴が残ることもない。

 送信先アドレスがjpドメイン(.jp で終わる)の場合,件名は,用意されている17パターンの日本語の中からランダムに選択されて付けられる。編集部では,「Re:お久しぶりです」という件名を確認している。シマンテックによれば,これ以外に,「重要」,「Re:重要」,「極秘」,「Re:重要なお知らせ」などがあるという。jpドメイン以外のメール・アドレスでは,「Important」という件名になる。なお,本文には何も書かれていない。

 現時点では,メールの送信以外の発病挙動は確認されていない。また,patch.exeを実行しない限り,発病することはない。このウイルスに対応していないウイルス対策ソフトもあるので,注意が必要である。シマンテックやトレンドマイクロなどは現在対応を進めている最中で,今日中にはこのウイルスを検出できる定義ファイル(パターンファイル)を公開するという。

◎参考資料
WORM_FBOUND.B(トレンドマイクロ)
W32/Fbound.c@MM(日本ネットワークアソシエイツ)
W32.Dotjaypee@mm(シマンテック)
新種ウイルス「W32/Fbound」に関する情報(IPAセキュリティセンター)

(勝村 幸博=IT Pro編集)