日本国内で3月14日、ウイルス対策ソフトで検出できないウイルス「WORM_JAPANIZE.A」の感染が拡大している。ファイル「PATCH.EXE」が添付されたE-mailはこのウイルスに感染している可能性が高く、トレンドマイクロなどのウイルス対策ソフトメーカーは注意を呼びかけている。
被害は日本を中心に急拡大しているもようだ。トレンドマイクロに最初に入った報告は3月14日の12時前。その後、14時45分までの3時間弱で76件の報告があり、現在も増え続けているという。
WORM_JAPANIZE.Aは、WORM_FBOUND.Bの亜種。このウイルスによって送信されたメールは、サブジェクトが「ImportantMessege」もしくは何らかの日本語、発信者名はウイルスに感染したユーザーのアドレスとなる。ウイルスがどういったルールでサブジェクトを作成しているかは現在解析中だという。
トレンドマイクロによれば、ウイルスに感染するとWindowsのアドレス帳ファイルに登録されているアドレスに自身を添付したメールを送信する。ドメイン名に応じてサブジェクトを変えており、「.jp」ドメインの場合には日本語のサブジェクト、それ以外は英語のサブジェクトでメールを送信する。レジストリの改変やファイルの削除といった破壊活動などは、現時点では確認されていない。
3月14日15時の時点では、トレンドマイクロやシマンテックなどのウイルス対策ソフトはこのウイルスに対応しておらず、WORM_JAPANIZE.Aに感染したメールを受信しても検出・駆除が行なえない。トレンドマイクロによれば、3月14日中にも対応したパターンファイルの公開を予定しており、ユーザーにはウイルスへの注意とこまめなパターンファイルのアップデートを呼びかけている。
【UPDATE】
トレンドマイクロは、このウイルスの名前として使用していた「WORM_JAPANIZE.A」を「WORM_FBOUND.B」に変更した。同じものをシマンテックは「W32.Dotjaypee@mm」、ネットワークアソシエイツは「W32/Fbound.b@MM」と呼んでいるほか、「W32.Fidao」「WORM_FIDAO」「FIDAO.A」「FIDAO」「Win32/Japanize.Worm」「I-Worm.Zircon.B」「Win32/Japanize.Worm」「Worm.Zircon.B」という名前も使用されている。
なお、トレンドマイクロは3月5日付けで「WORM_FBOUND.B」に対応したパターンファイル235を公開しているが、今回感染が拡大しているのは、このウイルスの亜種。名称は同じだが、パターンファイル235では検出することができない。
3月14日の16時以降、各社から「WORM_FBOUND.B」に対応したパターンファイルが公開されている。トレンドマイクロはパターンファイル241で対応。シマンテックは、コンシューマー向けのパッケージでは3月14日付でのパターンファイルで対応(バージョンは日付でしか確認できない)、企業向けでは「40313cf」で対応した。ネットワークアソシエイツも、同社のWebサイトで緊急ウイルス定義ファイル「Extra.dat」を公開、このファイルを利用することで検出が可能になる。
□ウイルス「WORM_JAPANIZE.A」の情報(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_JAPANIZE.A
□ウイルス「WORM_FBOUND.B」の情報(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
□ウイルス「W32.FBound@mm」の情報(シマンテック)
http://www.symantec.com/sarcj/data/w/w32.fbound%40mm.html
□ウイルス「W32/Fbound.c@MM」の情報(ネットワークアソシエイツ)
http://www.nai.com/japan/virusinfo/fbound.asp
□トレンドマイクロ
http://www.trendmicro.co.jp/
(笠井 康伸)
2002/03/14 15:14
|