| 対応定義ファイル |
NOD32アンチウイルスはこのワームをヒューリスティックにより検出しました。定義ファイルバージョン
1.442(20030618) 以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
マスメーリングワームであるWin32/Sobig.Dは、2003年6月18日に電子メールの添付ファイル内で発見されました。このワームは活動を無効にする内蔵のタイミングアルゴリズムを持っており、これにより2003年7月2日に活動を停止します。
NOD32
Ver.2(日本語版はNOD32アンチウイルスVer.2です)をお使いのユーザーは今年4月から導入されたアドバンストヒューリスティクにより、ウイルス定義ファイルのデータベースを更新する必要なく、このワームが現れた瞬間に検出することができます。このワームは感染済のコンピュータから感染を引き起こすファイルを添付した電子メールを経由して拡大しており、ネットワーク環境内の共有フォルダからも同様に感染を起こします。
このワームのコードや行動は、先に出た同種のワームであるWIN32/Sobig.Cとほぼ同一です。それゆえこの新種のワームは“取り立てて新しい”ものではありません。感染した電子メールの件名やメールの本文、添付ファイルの名前は多少異なっており、そのほかの異なる点も以下に記載されています。感染した電子メールの新たな受信者を獲得するために、ワームは以下の拡張子を持つファイルを検索します。
txt
eml
html
htm
dbx
wab
感染した電子メールの件名はいくつかの選択肢から表示される場合があり、それらは以下のリストから選択されます。
Re: Application
Your application
Re: Accepted
Re: Screensaver
Re: Your Application (Ref: 003844)
Application Ref: 456003
Re: Movies
Re: App. 00347545-002
Re: Documents
感染した電子メールの本文は、以下の提案を行う文章に限られています。
See the attached file for details
悪意のあるペイロードは、保護されていないコンピュータ上でユーザが感染した添付ファイルをクリックした時に起動します。この添付ファイルは以下のリストにある名前の1つを持つ可能性があります。
このワームはさらなる活動を行うため、cftrb32.exe というファイルを指定した"SFtrb
Service "という新しいアイテムが、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runというレジストリキーに作成されます。このcftrb32.exeファイルはワームの本体であり、Windowsのシステムディレクトリ内にその本体もしくはコピーを置いています。このワームはまた、追加のデータファイル、rssp32.datをWindowsシステムディレクトリに作成します。
NOD32 Ver.2をご使用のユーザは、このワームに対しプログラムの更新を必要とせず完全に保護されています。ウイルス定義ファイルによるワームの検出はv.1.442以上で追加されています。
|
