コンピュータ・ウイルスの届け出先機関である情報処理振興事業協会セキュリティセンター(IPA/ISEC)は8月22日,メールで感染を広げるウイルス「Sobig.F」を警告した。 8月22日午後5時時点で,100件を超える相談や届け出が寄せられているという。セキュリティ・ホールを悪用することはないので,添付ファイルを開かなければ被害に遭うことはない。最新のウイルス定義ファイルを使用していれば,ほとんどのウイルス対策ソフトで検出できる。

 Sobig.Fは,2003年1月に出現した「Sobig」の変種である(関連記事)。8月20日に出現したSobig.Fについては,アンチウイルス・ベンダー各社も警告している。編集部にも,Sobig.Fを添付したメールが複数送られてきている。実際に感染を広げているようだ。

 Sobig.Fは,他のプログラム(ファイル)には感染しない。単独のプログラムである。実行されると,パソコン中のWindowsアドレス帳や特定のファイル(拡張子が .txt/.eml/.html などのファイル)から,メール・アドレスを取得して,そのアドレスあてにSobig.Fを添付したメールを送信する。メールの件名は以下の通り。

  • Re: Details
  • Re: Approved
  • Re: Re: My details
    Re: Thank you!
  • Re: That movie
  • Re: Wicked screensaver
  • Re: Your application
  • Thank you!
  • Your details

 メールの本文は,「See the attached file for details.」あるいは「Please see the attached file for details.」。添付ファイル(Sobig.F)の拡張子は,.pif あるいは .scr。メールの送信者名には,パソコン中のファイルから取得したアドレスなどを使う。

 メールだけではなく,ファイル共有を使って感染を広げるようプログラミングされているものの,バグにより,実際には感染を広げないという。

 また,任意のファイルを特定のサイトからダウンロードして実行する“機能”を備える。Sobig.Fは,特定の日時に,特定のサイトのUDPポート8998番へアクセスする。そのサイトからURLが返された場合には,そのURLのサイトから特定のファイルをダウンロードして実行する。Sobig.Fがダウンロードなどに使用するポートは,UDP 995~999番である。

 Sobig.Fには,“凝った”感染機能はない。このため,「添付ファイルを安易に開かない(実行しない)」「ウイルス対策ソフトを適切に使用する」――といった対策を施していれば防げる。とはいえ,世の中に出回っているウイルス(ワーム)はSobig.Fだけではない。「セキュリティ・ホールをふさぐ(Windows Updateを利用する)」ことも,ウイルス(ワーム)対策として不可欠である。

◎参考資料
「W32/Sobig」の亜種 (Sobig.F) に関する情報(IPA/ISEC)
「Sobig に関する情報」(マイクロソフト)
「W32.Sobig.F@mm」(シマンテック)
「WORM_SOBIG.F」(トレンドマイクロ)
「W32/Sobig.f@MM」(日本ネットワークアソシエイツ)

(勝村 幸博=IT Pro)