電子メールで感染を広めるコンピュータ・ウイルス「Frethem.J」が7月15日,国内で流行し始めている。メールの件名は「Re:Your Password!」で,添付ファイル名は「decyrpt-password.exe」と「password.txt」。decyrpt-password.exeがウイルスの実体であり,実行してしまうと,アドレス帳などに含まれるメール・アドレスあてに,ウイルスを添付したメールを送信する。
また,セキュリティ・ホールがあるInternet Explorer(IE)を使用している場合には,Outlook Expressなどでメールをプレビューするだけで,ウイルス・ファイルが実行される恐れがある。現時点では,ほとんどのウイルス対策ソフトが対応していないので注意が必要。
米Symantecの情報によると,Frethem.Jは米国時間7月12日に発見されている。同社による危険度は「2」(最大危険度は「5」)であるが,シマンテックのSymantec Security Responseマネージャ 星澤裕二氏によると,7月15日になってから国内での発見/感染報告が増えているという。
同ウイルスが添付されたメールの本文は,
ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel文末に,ユーザー名が書かれている場合もある(このユーザー名がウイルスの送信者であるかどうかは,現在のところ未確認)。
メール本文はHTMLで記述されており,受信したメール・ソフトによっては「C.htm」という添付ファイルになっている場合もある。
Frethem.Jウイルスは,Klezウイルスなどと同様,IEのセキュリティ・ホールを悪用する。そのため,きちんとパッチを適用していないIEユーザーが,OutlookやOutlook ExpressなどでFrethem.Jを受信した場合,メールの本文をプレビューしただけで,ウイルス・ファイル(decyrpt-password.exe)が実行される恐れがある。
マイクロソフトの「Windows Update」などで,きちんとセキュリティ・ホールをふさいでおくとともに,怪しい添付ファイルは実行しないように注意したい。今回のように,アンチウイルス・ベンダーのデータ・ファイル更新が間に合わない場合があるので,ウイルス対策ソフトは万全ではないのである。
アンチウイルス・ベンダー各社は,現在データ・ファイルの更新作業を進めている。例えば,シマンテックではFrethem.Jに対応したデータ・ファイル(ウイルス定義ファイル)をまもなく公開する予定である。
【7月15日追記】シマンテックの情報によると,Frethem.Jに対応したウイルス定義ファイルは現在のところ「LiveUpdate」サイトには置かれていない。そのため,マニュアルでダウンロードとインストールを行う必要がある。「LiveUpdate」サイトには,米国時間7月17日に置かれる予定。
日本ネットワークアソシエイツも,同社対策ソフト用の「緊急対応用Extra.dat」を公開している。マニュアルでダウンロードしてインストールすれば,同ウイルスを検出できるようになる。また,トレンドマイクロはパターンファイルを現在準備中。
【7月15日追記】シマンテックの情報によると,7月15日(日本時間)現在,同社はFrethem.Jの変種を発見したという。詳細については現在解析中としている。
【7月16日追記】ほとんどのアンチウイルス・ベンダーはFrethemウイルスに対応した模様。ウイルス対策ソフトのユーザーはデータ・ファイルを更新して同ウイルスに備えたい。詳細については,ベンダー各社のWebサイトなどを参照してほしい。
◎参考資料
◆W32.Frethem.J@mm(英語情報,米Symantec)
◆W32.Frethem.J@mm(シマンテック)
◆W32/Frethem.k@MM(日本ネットワークアソシエイツ)
◆WORM_FRETHEM.K(トレンドマイクロ)
◆「W32/Frethem」ウイルスの亜種に関する情報(IPAセキュリティセンター)
◆W32.Frethem.K@mm(シマンテック)
