米CERT/CCは米国時間1月13日,電子メールで感染を広げる「Sobig」ウイルスに関する感染報告が増えていることを公表した。公表時点で100を超える感染報告を受けているという。アンチウイルス・ベンダーであるシマンテックや日本ネットワークアソシエイツも,報告件数が増えているとの理由から,それぞれ米国時間1月13日および1月12日に危険度を引き上げている。
Sobigウイルスを添付したメールの件名(Subject)は,「Re: Movies」「Re: Sample」「Re: Document」「Re: Here is that sample」のいずれか。差出人名は「big@boss.com」。ウイルス本体である添付ファイル名は,「Movie_0074.mpeg.pif」「Document003.pif」「Untitled1.pif」「Sample.pif」のいずれかである。
ユーザーが添付ファイルをダブルクリックするとウイルス本体が起動し,パソコン内の特定ファイル(.txt,.eml,.html,.htm,.dbx,.wab)から取得したメール・アドレスへ,ウイルス自身を添付したメールを送信する。ウイルス自身がメール送信機能を備えているので,ユーザーが使用しているメール・ソフトによらず被害を受ける。また,メール・ソフトに送信履歴が残ることもない。
加えて,アクセス可能なすべての共有ドライブのスタートアップ・フォルダ(「Windows\All Users\Start Menu\Programs\StartUp」や「Documents and Settings\All Users\Start Menu\Programs\Startup」)にウイルス自身をコピーして感染を広げる。
さらに,Windowsの起動時にウイルスが実行されるように,レジストリを変更する。
ただし,目新しい感染メカニズムなどは備えていないので,従来のウイルス対策で被害を防ぐことができる。ほとんどのウイルス対策ソフトは対応済みなので,最新のウイルス定義ファイルを使用していれば検知できる。また,添付ファイルを実行しなければ被害を受けることもない。
◎参考文献
◆CERT/CC Current Activity「W32/Sobig worm」(米CERT/CC)
◆W32.Sobig.A@mm(シマンテック)
◆W32/Sobig@MM(日本ネットワークアソシエイツ)
◆WORM_SOBIG.A(トレンドマイクロ)
(勝村 幸博=IT Pro)
