TROJ_SIRCAM.A - 2001/7/24
「TROJ_SIRCAM.A」国内感染報告急増中
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、 トロイの木馬型ワーム「TROJ_SIRCAM.A」(トロージャン サーカム・エー)の新種ウイルス警報VAC-2(※1) を警告すると同時に、パターンファイル917以降で対応したことをお知らせいたします。
トレンドマイクロでは、日本時間7月18日未明に米国で感染報告を受けたのをかわきりに各国から相次いで感染報告を受けており、 十分な注意が必要です。既に日本でも企業ユーザを中心に約70件の感染報告を受けています(7月24日現在 トレンドマイクロ調べ)。 「TROJ_SIRCAM.A」は、感染力が非常に強いウイルスで、機密情報漏洩を引き起こす恐れもあります。 不審な添付ファイル付きのe-mailには十分注意してください。また、受け取った場合は、添付ファイルを実行 (ダブルクリック)せず、すぐ削除してください。
トレンドマイクロでは、ユーザ様や企業のセキュリティ担当者様が素早い対応を行えるようホームページ上で最新のウイルス情報を提供をしています。
・「ウイルス情報」トップページ
http://www.trendmicro.co.jp/virusinfo/index.asp
・ウイルスデータベース「TROJ_SIRCAM.A」
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_SIRCAM.A
(※1)新種ウイルス警報VAC(Virus Alert Code)
新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。(VAC-1が最も脅威度が高い)
「TROJ_SIRCAM.A」概要
「TROJ_SIRCAM.A」は、メールソフトのアドレス帳に登録されているメールアドレスと、ローカルドライブ内のhtmlファイルより取得したメールアドレス全てに対し、 ウイルス付きe‐mailを自動的に送信するワーム活動を行うウイルスです。 また、e‐mailによるウイルス感染だけでなく、ネットワーク上でも自己増殖活動を行いさらに感染の拡大を図ります。
ワーム活動を行う際に、「マイ ドキュメント」内のファイルをランダムに選択し、ウイルスとともに一つのファイルとしてe-mailに添付し送信するので、 機密情報漏洩に繋がる恐れがあり、十分な注意が必要です。
また、このウイルスはメールソフトに依存せず自身の機能でワーム活動を行うため、送信済メールフォルダにはその履歴が残らず、 感染に気付きにくいという特徴もあります。
(ウイルス付きe-mail例)マイドキュメントから「お見積り.xls」が選択された場合
添付ファイル名は、ランダムに選択されたファイル名に.lnk、.pif、.com、もしくは.exeの拡張子をつけた形で送信されます。 また、件名は添付ファイル名から拡張子を除いたものになります。
件名: お見積り
本文: "Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks"
添付ファイル名: お見積り.xls.com
※ メール本文には英語版とスペイン語版があります。(上記例は英語の場合です。) 本文の最初の「"Hi! How are you?」と最後の「See you later. Thanks」は必ず記載されますが、 その間の文はいくつかの候補からランダムに選択されます。
※ 上記はあくまでも例であり特に件名、添付ファイル名は不定ですのでご注意ください。
■ 「TROJ_SIRCAM.A」の感染経路
- e-mailによる感染
- ネットワーク経由による感染
■ 「TROJ_SIRCAM.A」の感染活動
[1] ワーム活動
メールソフトのアドレス帳とローカルドライブ内のhtmlファイルよりメールアドレスを取得し、 その全てのメールアドレスに対し、ウイルス付きe-mailを送信します。
※ メールソフトに依存することなく、自身の機能でe-mail送信を行うため、送信記録などが残ることはありません。
[2] 情報漏洩
ワーム活動を行う際に、マシン内の「マイ ドキュメント」フォルダからDOC、XLS、ZIPファイルをランダムに選択し、ウイルスと共にe-mailに添付し、送信します。そのため、ランダムに選択されたファイルが貴重な情報であった場合、機密情報漏洩に繋がる可能性があり、十分な注意が必要です。
※ ファイル名は、選択されたファイル名に拡張子が追加されたものになります。
[3] システムに常駐してワーム活動を繰り返す
Windowsのレジストリを改変することにより、システムに常駐し、Windows起動時および、拡張子.exeのファイル実行ごとにワーム活動を繰り返し行います。
※ このシステム変更によって、アプリケーションの実行に支障をきたす場合もあります。
[4] ネットワーク上で拡散(ごみ箱もウイルスチェックを)
ウイルスはネットワークにも侵入し、共有できるほかのマシンのごみ箱(Recycled)ディレクトリにウイルス自身のコピーを作成し、システム起動時にワーム活動を自動実行するように設定します。
「TROJ_SIRCAM.A」対策について
■ 注意事項
- e‐mailによる感染の場合、送信者名は感染者名でなくランダムに選ばれた名前で送信されてきます。 不審な添付ファイルは実行(ダブルクリック)せず、必ず削除してください。これにより、ウイルス感染被害を防ぐことが可能です。
- ワームはネットワーク越しに拡散するのでワームが侵入したマシンをネットワークには接続しないでください。
■ 感染した場合
一個のプログラムなので駆除は行えません。検出した場合はファイルごと削除してください。 ワーム実行後の手動削除方法の詳細につきましては弊社ホームページをご覧ください。
■ トレンドマイクロ製品ユーザ様向けソリューション
オリジナルのウイルスには検索エンジンVer.5.20以上、パターンファイル917以上で対応していますが、 今後亜種・変種などが発生する可能性があるため、できるだけ最新のパターンファイルおよび検索エンジンのご使用をお勧めします。
■ 現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、「オンラインスキャン」にてマシンのウイルスチェックを実行し、 検出したら同様に手動削除してください。
「オンラインスキャン」ホームページ:
http://www.trendmicro.co.jp/hcall/index.asp
■ ウイルス情報
| ウイルス名 | TROJ_SIRCAM.A |
| 別 名 | SIRCAM, SIRCAM32, W32.SIRCAM, WORM@MM |
| 言 語 | 英語、スペイン語 |
| ウイルス種類 | トロイの木馬型(ワーム) |
| プラットフォーム | Windows 95/98/ME |
| 暗号化 | なし |
| ウイルスサイズ | 137216Bytes |
| 遭遇の可能性 | 高い |
| 特徴 | 自身のコピーと「マイドキュメント」内のファイルをマージしてメールに添付して任意の宛先に送信、 ネットワーク上で自己増殖します。 |
■ トレンドマイクロFAX BOX 情報提供サービス
お手元のFAXから、トレンドマイクロFAX情報センターへダイアルしていただくと対策情報を受け取ることができます。 24時間取り出すことができ、通話料のみでご利用いただけます。 ファクシミリから「FAX BOX情報センター」にダイヤルし、音声ガイダンスに従いサービス内容をお選びください。
【FAX番号】03-5972-5746 【TROJ_SIRCAM.A情報:1110】
※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
