WORM_FBOUND.B - 2002/3/14

感染警報VAC-3　「WORM_FBOUND.B」（エフバウンド.B）

<追記>※本ニュース発表後にリリースされたパターン242よりウイルス名がWORM_FBOUND.BからWORM_FBOUND.Cへ変更されました。ご注意ください。

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長：スティーブ・チャン）は、日本においては件名が日本語になる場合が多いウイルス「WORM_FBOUND.B」（エフバウンド.B）について、ウイルス警報VAC-3※1にて警告することをお知らせいたします。日本において被害が拡大中であり、当社では現在（3月14日14時45分）76件のお問い合わせ及び感染報告を確認しています。トレンドマイクロではすでにパターンファイル241にて対応※2しています。

※1 VAC（Virus Alert Code） トレンドマイクロが独自に発表している新種ウイルス警報です。新種ウイルスの感染力・破壊力などから脅威度を１～5までのレベルで表示しています。（VAC-１が最も脅威度が高い）
※2 今後新たな亜種の発生も考えられるため、お使いの製品のパターンファイルを最新のものに更新してください。

「WORM_FBOUND.B」（エフバウンド.B）の特徴とその対策について

● ウイルスの特徴
「WORM_FBOUND.B」（エフバウンド.B）は、自分のコピーをメールに添付してアドレス帳にある全てのアドレスにメールを送信することで増えていきます。
ウイルス付メールの特徴は下記のとおりです。

送信者 ： ウイルス感染者
件名 ： 「何らかの日本語文字列」　※宛先メールアドレスが「.jp」ドメインの場合
または「ImportantMessage」　※上記以外
本文 ： なし
添付ファイル名 ： PATCH.EXE

この添付ファイルを開くとウイルスは活動します。
レジストリ改変などのシステムの改変は行いません。

※ このウイルスは3月始めに発見された「WORM_FBOUND.A」（エフバウンド.A）の亜種です。
※ 別名：FIDAO.A, FIDAO, W32/Fbound.b@MM, Win32/Japanize.Worm, Worm.Zircon.B など

● 現時点（3月14日14時45分現在）のお問い合わせおよび感染被害報告件数
76件(日本国内)

● お勧めする対策
・ ウイルス対策製品のパターンファイルおよび検索エンジンを最新にしてください。
・ 「PATCH.EXE」という添付ファイルのメールは見ずに削除してください。

「TrendLabs Japan」アンチ・ウイルスセンターウイルス解析担当者　岡本勝之　コメント

このウイルスは特に日本においては件名に日本語が使用される場合が多くなるため、件名につられて添付ファイルを開かないよう注意が必要です。これまでも受信メールなどの件名を利用することで日本語件名がありえるウイルスはありましたが、多くの場合2バイトコードを意識したプログラミングではなかったため、日本語件名は文字化けしがちでした。今回は日本語件名が実現されている珍しいケースです。ウイルス作成者が日本人かどうかはわかりませんが、少なくとも日本語を理解できる者が作成したと考えられます。

「WORM_FBOUND.B」（エフバウンド.B）の概要

● 感染対象
Windows 環境のPC

● 感染経路
e-mailの添付ファイル
送信されるメールは以下の内容です：

送信者：ウイルス感染者
件名：「何らかの日本語文字列」
※宛先メールアドレスが「.jp」ドメインの場合、日本語件名をウイルスコードの中からランダムに選びます。何種類のリストがあるのかは現在解析中です。
または 「ImportantMessage」 ※宛先メールアドレスが上記以外の場合
本文：なし
添付ファイル名：PATCH.EXE

● ワーム活動（増殖の仕方）
ワームが実行されると、レジストリの以下の場所よりデフォルトで使用されている SMTP サーバの情報を取得します。
場所：HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001
また、レジストリの以下の場所に指定されている「Windows のアドレス帳ファイル」よりメールアドレスの情報を取得します。
場所：HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4Wab File Name
これらの情報を取得できた場合には、SMTP サーバを使用してメール送信を行います。

● 破壊活動
本ウイルスはシステム改変などは行いません。

● WORM_FBOUND.B」（エフバウンド.B）に感染していないか確かめる方法
ウイルス対策製品がある場合
1）最新の検索エンジン・パターンファイルにアップデートしてください。
2）「手動検索」にてシステム全体を検索してください。

ウイルス対策製品がない場合
トレンドマイクロ社ホームページより、「オンラインスキャン」にてマシンのウイルスチェックを実行してください。
「オンラインスキャン」URL： http://www.trendmicro.co.jp/hcall/index.asp

● ウイルスを検出（見つけた）した場合
本ウイルスは感染活動を行わないため「駆除」処理はできません。検出したファイルを、単純に削除してください。

「ウイルスバスター2002」ご利用の場合、標準設定では今回のような「トロイの木馬型」ウイルスは「隔離」されます。「隔離」された場合は、ウイルスが活動する心配はありません。
「隔離」フォルダ内のウイルスを削除したい場合は、プロフェッショナルモード画面より、「ウイルス隔離」機能を選択し、ウイルスを指定、削除ボタンをおしてください。

● ウイルスに関する詳細は下記URLよりご覧ください
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B

※ TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
※ 各社の社名および製品名は、各社の商標又は登録商標です。