-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2005-0011 JPCERT/CC 2005-11-25 (初版) 2005-11-25 (更新) <<< JPCERT/CC Alert 2005-11-25 >>> Sober ワームの変種に関する注意喚起 A New Variant of "Sober" Worm http://www.jpcert.or.jp/at/2005/at050011.txt I. 概要 Sober ワームの変種が出現し、それによって大量のメールが送信され、結果 としてメールサーバのサービス運用妨害 (DoS) を引き起こす、また、ウイル ス検知サービスが発するエラーメールが大量に送信されるなどの事例が報告さ れています。 このワームは、電子メールの添付ファイルを媒介として Windows システム に感染し、ワームそれ自身の複製をメールに添付して拡散します。レジストリ やシステム自体の改ざんを行なうため、ワームに感染した Windows システム を再起動しても復旧できない可能性があります。したがって Windows システ ムが感染してしまった場合は、ハードディスクをフォーマットした上で OS を 再インストールすることを強くお勧めいたします。 また、メールサーバが大量のメールを受信してサービス運用妨害 (DoS) を 引き起こす事例が報告されているため、メールサーバ側での対策も必要とされ ます。さらに、このワームがメールを送信する際、送信元として特定のメール アドレスを装うことが分かっています。 II. 対象 対象となるのはすべての Windows システムおよび外部よりメールを受信す るすべてのメールサーバです。 III. 検知と対策 (1) Windows システムの場合 以下のような方法でワームの検知と対策を行ってください。 * 主要ウイルス対策ソフトウェアベンダより Sober ワームおよび当該変種 に対応した定義ファイルが既に提供されていますので、最新の定義ファイ ルに更新後、システムのスキャンを行ってください。また、主要ウイルス 対策ソフトウェアベンダより当該ワームの駆除ツールが提供されている場 合がありますので、詳しくは各ベンダの情報をご確認ください。 定義ファイルの更新手順については、お使いのウイルス対策ソフトウェア ベンダまたはネットワーク管理者にお問い合わせください。 * Windows Update 又は、Microsoft Update などを用い、セキュリティ更新 プログラムを適用してください。 Microsoft Update https://update.microsoft.com/microsoftupdate Microsoft Update について http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx (2) メールサーバの場合 * 当該ワームは以下のような Subject (件名) や添付ファイル名を使うこと が既に知られているので、このような Subject (件名) や添付ファイル名 を含むメールを受信しないよう一時的に設定することをお勧めします。 - Subject (件名): Mail delivery failed Paris Hilton & Nicole Richie Registration Confirmation You visit illegal websites Your IP was logged Your Password hi, ive a new mail address smtp mail failed - 添付ファイル名: email_text.zip list.zip mail.zip mail_body.zip mailtext.zip question_list.zip reg_pass-data.zip reg_pass.zip ※ 当該ワームがメールを送信する際、送信元として特定のメールアドレ スを装うことがあります。 IV. 参考情報 US-CERT Current Activity W32/Sober Revisited http://www.us-cert.gov/current/archive/2005/11/22/archive.html#sobergen AusCERT AA-2005.0029 -- Increased activity of Sober email worm variant including faked FBI and CIA emails http://www.auscert.org.au/render.html?it=5779 情報処理推進機構 セキュリティセンター W32/Soberウイルスの亜種に関する情報 http://www.ipa.go.jp/security/topics/newvirus/sober.html U.S. Department of Justice Federal Bureau of Investigation FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm 今回の件につきまして当方まで提供いただける情報がございましたら、ご 連絡ください。 __________ 改訂履歴 2005-11-25 初版 2005-11-25 Sober のスペルミス修正 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQ4bpfox1ay4slNTtAQHvCgQA3v1bmbv5/kJ3oIXpTIOdNMALnSznBux7 frAEGAp7sFuw0xYl4CGPNkjVMwfHe8FoHuUnr4Jj628z2y8+EaBgKff+sK/+oj2b MEFu5hyurQ+gS8c7dLlxx4+YNxUOF/9R2sIyz7ELRSNd89P8E9TMDkxnr6ylRieP 4nSz9i5NlOc= =vB/R -----END PGP SIGNATURE-----