ニュースリリース - 2000/6/8

携帯電話用メールアドレスに送信される初のウイルス「VBS_TIMOFONICA」

トレンドマイクロ株式会社（本社：東京都渋谷区　社長：スティーブ・チャン）は、スペインで発見された携帯電話用メールアドレスに送信される世界初のウイルス「VBS_TIMOFONICA」に、パターンファイル725以降で対応することをお知らせいたします。

「VBS_TIMOFONICA」の概要

　この「VBS_TIMOFONICA」はワームに分類されるトロイの木馬型不正プログラムです。これまでの「ラブレター」などと同様にVBスクリプトで記述され、Outlookの機能を利用しメールを介して増殖します。ワームは件名が“TIMOFONICA”で、 “TIMOFONICA.TXT.VBS”というファイルを添付したメールをOutlookアドレス帳に登録されているすべてのメールアドレスに対し自動的に送信します。メール本文はスペイン語です。また、マシンのCMOSを壊すという悪質な破壊活動も持っています。

　さらに、この「VBS_TIMOFONICA」が今までのワームと異なる特徴として、携帯電話のメールアドレスを標的にメール送信を行う点が挙げられます。携帯電話用のメールアドレスは＜電話番号＞@＜電話会社のサイト名＞の形式をとっているものがポピュラーですが、このワームは電話番号の部分をランダムに作成してメールを送信します。メールを受信した携帯電話上でワームが活動することはありませんが、ワームのメールを受信した携帯電話の使用者は長文のスパムメールが送られてきたのと同様の迷惑を蒙ることとなります。

　現在このワームはあるスペインの携帯電話会社ユーザのメールアドレスのみを対象にしてメールを送信します。しかし、電話番号をそのままメールアドレスとして使用する形式をとっている携帯電話サービスであれば簡単に移植が可能です。このワームは変更が容易なVBスクリプトで記述されているため「ラブレター」の時のように多くの亜種が出回る可能性があり今後の監視が必要です。

トレンドマイクロの対応
パターンファイル725以降で対応しています。また、こちらはトロイの木馬型不正プログラムであるため、駆除ができません。ウイルス対策ソフトで検知された場合、後述の手動削除手順にて削除してください。

ウイルス情報

ウイルス名	VBS_TIMOFONICA	ウイルス種類	VBスクリプト、ワーム
別名	I-Worm.Timofonica, VBS/Timofonica , Timofonica, VBS/Timo-A, Trojan.Timo
サイズ	11,492 Bytes	遭遇の可能性	高い
対応エンジン	5.110	対応パターン	725
破壊活動	メールを自動送信する
詳細　これはVBスクリプトで記述されたワームに分類されるトロイの木馬型不正プログラムです。Outlookの機能を利用し、件名が“TIMOFONICA” で “TIMOFONICA.TXT.VBS”というファイルを添付したメールを自動的に送信します。メールの本文にはスペイン語のメッセージが書かれています。さらに、スペインの携帯電話用メールアドレスをランダムに選択してメールを送信します。また、マシンのCMOSを壊すという破壊活動も持っています。
活動　このウイルスが実行されるとまず以下のレジストリキーをチェックしすでに感染しているかどうかを確認します。もし以下の値がなければ、これを追加します。 HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion Timofonica = 1 さらに以下の値を追加します。 HKEY_CURRENT_USER \Software \Microsoft \Office \9.0 \Outlook \Preferences SaveSent = 0 HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run 値: Cmos=Cmos.com 次に、Cドライブのルートに自分自身のコピーである"TIMOFONICA.TXT.VBS"と、"TIMOFONICA.TXT"というテキストファイルを作成します。このファイルにはスペイン語で政治的なメッセージが書かれています。この後以下のレジストリに“Fichero” というキーを追加します。 HKEY_LOCAL_MACHINE \Software \CLASSES \VBSFile \Shell \Open \Command この結果、VBSファイルが実行されると、ノートパッドが起動し、"TIMOFONICA.TXT"の内容を表示するようになります。＜発病＞このワームは実行時にLoveletterウイルスと同様、Outolookに登録されたメールアドレスすべてに対し以下のメールを送信します。件名："TIMOFONICA" 本文： "Es de todos ya conocido el monopolio de Telefonica pero no tan conocido los metodos que utilizo para llegar hasta este punto." "En el documento adjunto existen opiniones, pruebas y direcciones web con mas informacion que demuestran irregularidades en compras de materiales, facturas sin proveedores, stock irreal, etc." "Tambien habla de las extorsiones y favoritismos a empresarios tanto nacionales como internacionales. Explica tambien el por que del fracaso en Holanda y que hizo para adquirir el portal Lycos." "En las direcciones web del documento existen temas relacionados para que echeis un vistazo a los comentarios, informes, documentos, etc." "Como comprendereis, esto es muy importante, y os ruego que reenvieis este correo a vuestros amigos y conocidos." 添付ファイル名："TIMOFONICA.TXT.vbs" さらに、メール受信機能を備えた携帯電話にむけてメールを送信します。これはスペインの携帯電話接続会社ユーザーのメールアドレスが対象となっています。 (3桁数値)+(6桁数値)@correo.movistar.net 最初の3桁の数値は"609","619","629","630","639","646","649","696"の内からランダムに選択され、これに0から9の内から6桁の数値を生成したものを組み合わせます。この9桁の数字に“@correo.movistar.net"を付け加えたできたメールアドレスに対してメールを送信します。つまり、メールアドレスは、630771852@correo.movistar.netのようなものになります。このとき送信されるメールは次の通り: 件名: TIMOFONICA 本文: informa que: Telefonica te esta enganando." また、レジストリに設定された値により、Windows/Systemフォルダに作成されたCMOS.COMというCMOSを破壊するためのトロイの木馬が、Windows再起動時に実行されます。このCMOS.COMが実行された場合、マシンは使用不可能になってしまいます。
手動削除手順レジストリエディタを起動し、以下の値を削除します。: HKEY_CURRENT_USER \Software \Microsoft \ Windows \CurrentVersion Timofonica = 1 HKEY_CURRENT_USER \Software \Microsoft \Windows \ CurrentVersion \Run Cmos=Cmos.com HKEY_LOCAL_MACHINE \Software \CLASSES \VBSFile \ Shell \Open \Command Fichero Microsoft Outlookで送信したメールを送信済みフォルダに保存するかどうかという設定を、｢保存しない｣という設定に変更されています。もとの設定に戻す場合は、Outlookの｢ツール｣メニュー→｢オプション｣→｢初期設定｣の｢メールオプション｣で設定を変更してください。以下のファイルがマシンにあれば、これを削除してください。 TIMOFONICA.TXT.vbs TIMOFONICA.TXT CMOS.COM また、VBS_TIMOFONICAとして検出されるファイルをすべて削除してください。

※TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※各社の社名および商品名は、各社の商標または登録商標です。