各位
Sober ワームの変種に関する注意喚起
A New Variant of "Sober" Worm
http://www.jpcert.or.jp/at/2005/at050011.txt
I. 概要
Sober ワームの変種が出現し、それによって大量のメールが送信され、結果としてメールサーバのサービス運用妨害 (DoS) を引き起こす、また、ウイルス検知サービスが発するエラーメールが大量に送信されるなどの事例が報告されています。
このワームは、電子メールの添付ファイルを媒介として Windows システムに感染し、ワームそれ自身の複製をメールに添付して拡散します。レジストリやシステム自体の改ざんを行なうため、ワームに感染した Windows システムを再起動しても復旧できない可能性があります。したがって Windows システムが感染してしまった場合は、ハードディスクをフォーマットした上で OS を再インストールすることを強くお勧めいたします。
また、メールサーバが大量のメールを受信してサービス運用妨害 (DoS) を引き起こす事例が報告されているため、メールサーバ側での対策も必要とされます。さらに、このワームがメールを送信する際、送信元として特定のメールアドレスを装うことが分かっています。
II. 対象
対象となるのはすべての Windows システムおよび外部よりメールを受信するすべてのメールサーバです。
III. 検知と対策
(1) Windows システムの場合
以下のような方法でワームの検知と対策を行ってください。
* 主要ウイルス対策ソフトウェアベンダより Sober ワームおよび当該変種
に対応した定義ファイルが既に提供されていますので、最新の定義ファイ
ルに更新後、システムのスキャンを行ってください。また、主要ウイルス
対策ソフトウェアベンダより当該ワームの駆除ツールが提供されている場
合がありますので、詳しくは各ベンダの情報をご確認ください。
定義ファイルの更新手順については、お使いのウイルス対策ソフトウェア
ベンダまたはネットワーク管理者にお問い合わせください。
* Windows Update 又は、Microsoft Update などを用い、セキュリティ更新
プログラムを適用してください。
Microsoft Update
https://update.microsoft.com/microsoftupdate
Microsoft Update について
http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx
(2) メールサーバの場合
* 当該ワームは以下のような Subject (件名) や添付ファイル名を使うこと
が既に知られているので、このような Subject (件名) や添付ファイル名
を含むメールを受信しないよう一時的に設定することをお勧めします。
- Subject (件名):
Mail delivery failed
Paris Hilton & Nicole Richie
Registration Confirmation
You visit illegal websites
Your IP was logged
Your Password
hi, ive a new mail address
smtp mail failed
- 添付ファイル名:
email_text.zip
list.zip
mail.zip
mail_body.zip
mailtext.zip
question_list.zip
reg_pass-data.zip
reg_pass.zip
※ 当該ワームがメールを送信する際、送信元として特定のメールアドレ
スを装うことがあります。
IV. 参考情報
US-CERT Current Activity
W32/Sober Revisited
http://www.us-cert.gov/current/archive/2005/11/22/archive.html#sobergen
AusCERT
AA-2005.0029 -- Increased activity of Sober email worm variant including faked FBI and CIA emails
http://www.auscert.org.au/render.html?it=5779
情報処理推進機構 セキュリティセンター
W32/Soberウイルスの亜種に関する情報
http://www.ipa.go.jp/security/topics/newvirus/sober.html
U.S. Department of Justice
Federal Bureau of Investigation
FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME
http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-11-25 初版
2005-11-25 Sober のスペルミス修正
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2005-0011
JPCERT/CC
2005-11-25 (初版)
2005-11-25 (更新)
JPCERT/CC Alert 2005-11-25
Sober ワームの変種に関する注意喚起
A New Variant of "Sober" Worm
http://www.jpcert.or.jp/at/2005/at050011.txt
I. 概要
Sober ワームの変種が出現し、それによって大量のメールが送信され、結果としてメールサーバのサービス運用妨害 (DoS) を引き起こす、また、ウイルス検知サービスが発するエラーメールが大量に送信されるなどの事例が報告されています。
このワームは、電子メールの添付ファイルを媒介として Windows システムに感染し、ワームそれ自身の複製をメールに添付して拡散します。レジストリやシステム自体の改ざんを行なうため、ワームに感染した Windows システムを再起動しても復旧できない可能性があります。したがって Windows システムが感染してしまった場合は、ハードディスクをフォーマットした上で OS を再インストールすることを強くお勧めいたします。
また、メールサーバが大量のメールを受信してサービス運用妨害 (DoS) を引き起こす事例が報告されているため、メールサーバ側での対策も必要とされます。さらに、このワームがメールを送信する際、送信元として特定のメールアドレスを装うことが分かっています。
II. 対象
対象となるのはすべての Windows システムおよび外部よりメールを受信するすべてのメールサーバです。
III. 検知と対策
(1) Windows システムの場合
以下のような方法でワームの検知と対策を行ってください。
* 主要ウイルス対策ソフトウェアベンダより Sober ワームおよび当該変種
に対応した定義ファイルが既に提供されていますので、最新の定義ファイ
ルに更新後、システムのスキャンを行ってください。また、主要ウイルス
対策ソフトウェアベンダより当該ワームの駆除ツールが提供されている場
合がありますので、詳しくは各ベンダの情報をご確認ください。
定義ファイルの更新手順については、お使いのウイルス対策ソフトウェア
ベンダまたはネットワーク管理者にお問い合わせください。
* Windows Update 又は、Microsoft Update などを用い、セキュリティ更新
プログラムを適用してください。
Microsoft Update
https://update.microsoft.com/microsoftupdate
Microsoft Update について
http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx
(2) メールサーバの場合
* 当該ワームは以下のような Subject (件名) や添付ファイル名を使うこと
が既に知られているので、このような Subject (件名) や添付ファイル名
を含むメールを受信しないよう一時的に設定することをお勧めします。
- Subject (件名):
Mail delivery failed
Paris Hilton & Nicole Richie
Registration Confirmation
You visit illegal websites
Your IP was logged
Your Password
hi, ive a new mail address
smtp mail failed
- 添付ファイル名:
email_text.zip
list.zip
mail.zip
mail_body.zip
mailtext.zip
question_list.zip
reg_pass-data.zip
reg_pass.zip
※ 当該ワームがメールを送信する際、送信元として特定のメールアドレ
スを装うことがあります。
IV. 参考情報
US-CERT Current Activity
W32/Sober Revisited
http://www.us-cert.gov/current/archive/2005/11/22/archive.html#sobergen
AusCERT
AA-2005.0029 -- Increased activity of Sober email worm variant including faked FBI and CIA emails
http://www.auscert.org.au/render.html?it=5779
情報処理推進機構 セキュリティセンター
W32/Soberウイルスの亜種に関する情報
http://www.ipa.go.jp/security/topics/newvirus/sober.html
U.S. Department of Justice
Federal Bureau of Investigation
FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME
http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
__________
改訂履歴
2005-11-25 初版
2005-11-25 Sober のスペルミス修正
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
