巧みな日本語件名のメールで感染を拡大する「Fbound」
日本国内においては、メール件名を日本語で表示するケースの多いウイルス「Fbound」が被害を拡大している。
脆弱性と脅威
脅威動向
このウイルスの特徴としては、宛先メールアドレスのドメインが「.jp」の場合、その件名を日本語で表示するという、今までにはあまりなかったタイプのもの。日本語での件名は下記のようなバリエーションがある。(下記以外にも幾つか確認されている)
「重要」「Re:重要」「重要なお知らせ」「Re:重要なお知らせ」「例の件」「Re:例の件」「極秘」「Re:極秘」「資料」「Re:資料」
上記を見ると、日本語の意味を理解したうえで件名を持たせ、巧みに添付ファイルを開くように誘導しているように見受けられる。
ウイルスメールの概要は下記の通り。
送信元:ウイルス感染者(詐称等は確認されていない)
件名:前述したとおり、「.jp」ドメインの場合は日本語の件名「.jp」以外のドメインには"Important"などで送信される
本文:なし
添付ファイル名:Patch.exe
感染方法:メール添付ファイル
破壊活動:特に行わない
ワーム活動:Windowsのアドレス帳ファイルより、メールアドレスを取得、大量送信
なお、このウイルスは添付ファイルの実行により感染する。最近、流行しているプレビューのみでの感染はしない。しかし、日本語による巧みな件名の付け方により、ファイルを実行してしまった感染者が多いようである。
関係各所の対応状況は下記の通り
▼トレンドマイクロ
パターンファイル241にて対応
ウイルス詳細:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
パターンファイルダウンロードサイト:
http://www.trendmicro.co.jp/support/download.asp
▼日本ネットワークアソシエイツ
緊急用 Extra.DATファイルにて対応
ウイルス詳細:
http://www.nai.com/japan/virusinfo/fbound.asp
DATファイルダウンロードサイト:
http://www.nai.com/japan/download/dat_download.asp?type=dw4
▼シマンテック
3月14日付けの定義ファイルにて対応
ウイルス詳細:(ウイルス名はW32.Dotjaypee@mm)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.dotjaypee%40mm.html
定義ファイルダウンロードサイト:
http://www.symantec.co.jp/region/jp/sarcj/download.html
▼日本エフ・セキュア
最新の定義ファイルにて対応
ウイルス詳細:
http://www.f-secure.com/v-descs/fbound.shtml (英文)
パターンファイルダウンロードサイト:
http://www.F-Secure.com/download-purchase/updates.shtml
《ScanNetSecurity》