スペインのウイルス対策企業Panda Softwareは米国時間8月19日,「Sobig」ワームの亜種「Sobig.F」(W32/Sobig.F)について警告を発した。
初代のSobigワームが検出されたのは2003年1月。それ以来,次々と亜種が登場しており,Sobig.Fは5番目の亜種となる。
Sobig.Fは電子メールの添付ファイルを介して感染を広げる。
■電子メールの件名(以下のいずれか)
Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
■電子メールの本文(以下のいずれか)
See the attached file for details
Please see the attached file for details.
■添付ファイル名(以下のいずれか)
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Sobig.Fは自身に組み込まれたSMTPエンジンを使って,感染したマシン上で見つけた電子メール・アドレスに自身の複製を送りつける。また,感染したマシン上に「winppr32.exe」という名称で自身の複製を作成する。Windowsが起動するたびにプログラムが稼働するように,Windows Registryに変更を加える。
ちなみに米メディアの報道(CNET News.com)によると,英MessageLabsは,これまでのところ米国,デンマーク,ノルウェーで被害を確認している。また,アジア太平洋地域でも感染している可能性が高いという。
◎関連記事
■「Re:」で始まる件名のメールに注意,「Sobig」ウイルスを米CERT/CCが警告
■米Microsoftのサポートを装う「Sobig」ワーム,米アンチウイルス・ベンダーが警告
■2003年5月のウイルス被害状況,ワースト1は米MSの技術サポートを装う「Palyh」
■2003年上半期のウイルス被害,6月に登場したばかりの「Bugbear-B」がワースト1
■「ウイルスは送信者アドレスを偽造する」――IPA
■F-Secureなどが新たなワーム「Sobig.C」を警告,「Sobig.B」沈静化と同時に検出
■「ネットサーフィンでもウイルスに感染する」――IPAが警告
■Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う
[発表資料へ]