TROJ_HYBRIS - 2001/1/11

感染警報VAC-3 「TROJ_HYBRIS」

トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長:スティーブ・チャン)は、トロイの木馬型(ワーム)ウイルス「TROJ_HYBRIS」(トロジャン ハイブリス)のVAC-3(※)を警告いたします。トレンドマイクロでは昨年11月上旬の発見以降このウイルスに対応し、ホームページ等で警戒ウイルスとして警告してまいりました。しかし、その後の相次ぐ亜種の発生や日本国内における感染報告の増加を受け、ここにVAC-3として警告をお知らせいたします。

「TROJ_HYBRIS」概要

「TROJ_HYBRIS」はワームに分類されるトロイの木馬型不正プログラムです。
日本語環境でワーム活動が行われた場合、差出人、件名、メール本文のないメールに不正プログラムが添付され送信します。その添付ファイルを実行(ダブルクリック)する事により活動を開始します。まず、Windowsのネットワーク関連のシステムファイルである"WSOCK32.DLL"の改変を行い、起動されたマシン上でインターネットへのアクセスを監視します。そしてメールの送信時にその送信先に対して、メール受信時に、その差出人に対してワームのコピーを添付したメールを送信します。また、ワームは自身の機能を拡張するため、インターネットを通じてダウンロードしたプラグインを組み込むことによって、機能を追加する能力も持っています。
基本的にはワーム活動以外に特に悪質な破壊活動はありませんが、組み込んだプラグインによって悪質な破壊活動を持つ可能性があります。どんなプラグインが用意されているかについて全貌は判明していませんが、現在、大きな白黒の渦巻のアニメーションを最前面に表示してコンピューターの操作を妨害するタイプの発病の報告を多く受けております。発病はワームの活動の結果ですのでワーム本体に対する十分な注意が必要です。

(※)新種ウイルス警報VAC(Virus Alert Code)
 新種ウイルスの感染力・破壊力などから脅威度を1~5までのレベルで表示。(VAC―1が最も脅威度が高い)

【注意事項】
●日本語環境下での動作
差出人、件名、メール本文のない添付ファイル付きのメールを送信します。
添付ファイル名はランダムな文字列(例:"LPLBDJLP.EXE")となります。不審な添付ファイル付きのメールは不用意に開かないで下さい。

●日本語以外の言語環境下での動作(※日本語以外で送られてくる場合もあるのでご注意ください。)
差出人、件名、メール本文のある形で送信します。(詳細は弊社ホームページをご覧下さい)

  差出人:Hahaha(英語・フランス語・スペイン語・ポルトガル語)

  •   英語での件名:Snowhite and the Seven Dwarfs - The REAL story!
  •   フランス語の件名:Les 7 coquir nains
  •   スペイン語件名:Enanito si, pero con que pedazo!
  •   ポルトガル語の件名:Branca de Neve porno!

1個のプログラムなので駆除は行えません。発見された場合は検出したファイルをすべて削除してください。

●トレンドマイクロ製品ではHYBRISに改変された"WSOCK32.DLL"を「TROJ_HYBRIS.DLL」名で検出します。この改変された"WSOCK32.DLL"に関しましては自動修復ツールをご用意いたしました。使用方法につきましてはをご参照ください。
http://inet.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2416

●トレンドマイクロ製品ユーザ様向けソリューション
パターンファイル795以降対応してまいりましたが、亜種の発生が相次いでいるためなるべく最新のパターン(現在は830)での対応をお勧めいたします。検索エンジン5.20以上で対応しています。

●現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、「ウイルスバスター オンラインスキャン」にてマシンのウイルスチェックを実行し、検知した同様に手動削除してください。

●ウイルスデータベース 下記にてウイルスの詳細情報をご覧下さい
http://inet.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FHYBRIS%2EA

●トレンドマイクロFAX BOX 情報提供サービスお手元のFAXから、トレンドマイクロFAX情報センターへダイアルし、対策情報を受け取ることができます。24時間取り出すことができ、通話料のみでご利用いただけます。
ファクシミリから「FAX BOX情報センター」にダイヤルし、音声ガイダンスに従い、サービス内容をお選びください。
【FAX番号】03-5972-5746
【「TROJ_HYBRIS」情報】 BOX No.(1061~1063)

●ウイルス情報

ウイルス名

TROJ_HYBRIS.A

別名

I-WORM.HYBRIS, TROJ_HYBRIS.B, TROJ_HYBRIS.C,TROJ_HYBRIS.C3, TROJ_HYBRIS.D, TROJ_HYBRIS.DLL, TROJ_HYBRIS.E,TROJ_HYBRIS.F, TROJ_HYBRIS.GEN, TROJ_HYBRIS.PX , W32/HYBRIS@M, WIN32.HYBRIS.GEN

ウイルス種類

トロイの木馬型

プラットフォーム

Windows

暗号化

ウイルスサイズ

28672bytes

発見日

2000年11月

対応パターン

795

発病条件 1

ファイル実行時

破壊活動 1

メールを自動送信する

※TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※各社の社名及び製品名は、各社の商標又は登録商標です。

今すぐウイルスチェック&駆除

セキュリティ用語を調べる

情報提供サービス

ホームページ以外でも、情報を提供しています。各種情報提供サービスもご利用ください。

メールマガジン

セキュリティの学習

『インターネット・セキュリティ・ナレッジ』は、インターネットセキュリティ全般の知識を幅広く身につけていただくためのポータルサイトです。

インターネット・セキュリティ・ナレッジ