スペインのウイルス対策企業Panda Softwareは米国時間8月19日,「Sobig」ワームの亜種「Sobig.F」(W32/Sobig.F)について警告を発した。

 初代のSobigワームが検出されたのは2003年1月。それ以来,次々と亜種が登場しており,Sobig.Fは5番目の亜種となる。

 Sobig.Fは電子メールの添付ファイルを介して感染を広げる。

■電子メールの件名(以下のいずれか)

Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

■電子メールの本文(以下のいずれか)

See the attached file for details
Please see the attached file for details.

■添付ファイル名(以下のいずれか)

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

 Sobig.Fは自身に組み込まれたSMTPエンジンを使って,感染したマシン上で見つけた電子メール・アドレスに自身の複製を送りつける。また,感染したマシン上に「winppr32.exe」という名称で自身の複製を作成する。Windowsが起動するたびにプログラムが稼働するように,Windows Registryに変更を加える。

 ちなみに米メディアの報道(CNET News.com)によると,英MessageLabsは,これまでのところ米国,デンマーク,ノルウェーで被害を確認している。また,アジア太平洋地域でも感染している可能性が高いという。

◎関連記事
「Re:」で始まる件名のメールに注意,「Sobig」ウイルスを米CERT/CCが警告
米Microsoftのサポートを装う「Sobig」ワーム,米アンチウイルス・ベンダーが警告
2003年5月のウイルス被害状況,ワースト1は米MSの技術サポートを装う「Palyh」
2003年上半期のウイルス被害,6月に登場したばかりの「Bugbear-B」がワースト1
「ウイルスは送信者アドレスを偽造する」――IPA
F-Secureなどが新たなワーム「Sobig.C」を警告,「Sobig.B」沈静化と同時に検出
「ネットサーフィンでもウイルスに感染する」――IPAが警告
Windows Updateサイトに攻撃を仕掛けるワームが出現,“超特大”ホールを狙う

[発表資料へ]