ウイルス情報

かかりやすさ:中

( Worm.Bobic.d )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
Worm_BOBAX.P
更新日:
2005年06月02日(木)
■感染したらどうなる
  • パソコン内からメールアドレスを収集し、勝手にウイルス付きメールを送信します。セキュリティ関連のwebサイトにアクセスできなくなる可能性があります。
■感染しないためには
  • 身に覚えのないメールの添付ファイルをむやみにクリックしないようにしてください。
    Windows Updateを定期的に行なってください。
    詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人:なりすまします。

    件名:空白

    本文:以下のいずれかの可能性があります。
    Attached some pics that i found
    Check this out :-)
    Hello,
    I was going through my album, and look what I found..
    Long time! Check this out!
    Osama Bin Laden Captured.
    Remember this?
    Saddam Hussein - Attempted Escape, Shot dead
    Secret!
    Testing

    その後、以下のいずれかが続く可能性があります。
    +++ Attachment: No Virus found
    +++ F-Secure AntiVirus - You are protected
    +++ Norman AntiVirus - You are protected
    +++ Norton AntiVirus - You are protected
    +++ Panda AntiVirus - You are protected
    +++ www.f-secure.com
    +++ www.norman.com
    +++ www.pandasoftware.com
    +++ www.symantec.com

    添付ファイル:ファイル名は以下のいずれかの可能性があります。
    bush.1
    funny.1
    joke.1
    pics.1
    secret.2

    拡張子はZIPの可能性があります。
  • 添付ファイルを実行すると、以下のwebサイトから「D.GIF」としてファイルをダウンロードします。
    このファイルを「Trojan.Small.axr」として検出します。
    http://kqjc<〜〜>eaayzt.afraid.org/d.gif
    http://phqn<〜〜>bcqq.2mydns.com/d.gif
    http://qqkl<〜〜>atm.2mydns.net/d.gif

    「Trojan.Small.axr」の詳細は以下をご確認ください。
    http://sec.sourcenext.info/virus/details/small_axr.html
  • レジストリの値を作成
    ワームを実行すると、システムディレクトリにランダムな文字列で自分自身を複製します。

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    以下のいずれかの値が追加されます。
    <複製されたワームの名称> = http://kqjc<〜〜>eaayzt.afraid.org/d.gif
    <複製されたワームの名称> = http://phqn<〜〜>bcqq.2mydns.com/d.gif
    <複製されたワームの名称> = http://qqkl<〜〜>atm.2mydns.net/d.gif

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    以下のいずれかの値が追加されます・
    <複製されたワームの名称> = http://kqjc<〜〜>eaayzt.afraid.org/d.gif
    <複製されたワームの名称> = http://phqn<〜〜>bcqq.2mydns.com/d.gif
    <複製されたワームの名称> = http://qqkl<〜〜>atm.2mydns.net/d.gif
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    また、このウイルスは感染したパソコンのユーザー名に@yahoo.comを追加し、差出人として送信します。
  • 脆弱性の利用
    Windowsの脆弱性を利用して、感染活動を行ないます。以下のURLを参照して、修正プログラムのインストールを行なってください。
    http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.mspx
  • hostsファイルの改変
    hostsファイルに以下の文字列を追加し、セキュリティ関連のwebサイトへのアクセスを遮断します。
    ar.atwola.com
    atdmt.com
    avp.ch avp.com
    avp.ru awaps.net
    ca.com
    dispatch.mcafee.com
    download.mcafee.com
    download.microsoft.com
    downloads.microsoft.com
    engine.awaps.net
    f-secure.com
    ftp.f-secure.com
    ftp.sophos.com
    go.microsoft.com
    liveupdate.symantec.com
    mast.mcafee.com
    mcafee.com
    msdn.microsoft.com
    my-etrust.com
    nai.com
    networkassociates.com
    office.microsoft.com
    phx.corporate-ir.net
    secure.nai.com
    securityresponse.symantec.com
    service1.symantec.com
    sophos.com
    spd.atdmt.com
    support.microsoft.com
    symantec.com
    update.symantec.com
    updates.symantec.com
    us.mcafee.com
    vil.nai.com
    viruslist.ru
    windowsupdate.microsoft.com
    www.avp.ch
    www.avp.com
    www.avp.ru
    www.awaps.net
    www.ca.com
    www.f-secure.com
    www.kaspersky.ru
    www.mcafee.com
    www.my-etrust.com
    www.nai.com
    www.networkassociates.com
    www.sophos.com
    www.symantec.com
    www.trendmicro.com
    www.viruslist.com
    www.viruslist.ru
    www3.ca.com

    hostsファイルは、以下のいずれかの場所にあります。
    %System%\drivers\etc\hosts
    %WinDir%\hosts

    ※%System%は、システムディレクトリです。
    ※%WinDir%は、ウィンドウズディレクトリです。