Verano

Sobig　ソービッグ

　2003年１月に発見されたトロイの木馬型ウイルス。最初に姿を現してから，威力を高めるために絶え間なく手を加えられ，６つの亜種が次々に登場した一種のプロジェクト。スパム，ワーム，トロイの木馬，スパイウエア，プロクシーを含むのが特徴で，スパム業者とウイルス作者が協力して作られたものだと指摘されている。名前は，ウイルスの最初のバージョンに使われていたダミーの電子メールアドレス big@boss.com から命名。メール本文には通常，See the attached file for details.（詳細は添付ファイルを参照）と書かれている。
　感染すると自分自身をコピーし，次に独自の SMTP エンジンでコピーを大量送信する。送信先アドレスは，拡張子が WAB，DBX，HTM，HTML，EML のファイルから取得。差出人：big@boss.com，件名は Re: Movies，Re: Sample，Re: Document，Re: Here is that sample。添付ファイル名は，Movie_0074.mpeg.pif，Document003.pif，Untitled1.pif，Sample.pif からランダムに選択。次に，共有ネットワークやメールで自身を送信，特定のサイトからファイルのダウンロードなどを行なう。最初のものは，感染したパソコンをスパム送信のプロキシサーバーにすることを目的としていた，とする意見もある。
　セントラルコマンド社は，ソービッグの亜種は，前の亜種が沈静化した直後に現れるというパターンを繰り返していることに着目。 F 以前の５種類の亜種は，それぞれが効力を失うたびに新しいバージョンのワームが登場したことから，次の亜種が2003年９月11日ごろに出現する可能性があると指摘。

Sobig.E

　2003年６月に警告された Sobig の亜種。感染すると，WinSSK32.EXE というファイル名で，Windows フォルダに自分自身をコピーした後，レジストリを改変する。 html や txt などのローカルファイルや Windows のアドレス帳などから送信先のメールアドレスを収集し，自分自身を添付し，独自の SMTP エンジンで送信する。共有ファイル上に自分自身をコピーし，ネットワーク上での感染活動も行なう。 2003年７月13日で活動を停止するようにプログラムされている。

Sobig F，W32/Sobig.F

　Sobig の亜種，史上最速の感染速度と言われ，３億通以上の感染した電子メールを世界中に送信。目的は，感染したマシンをスパム送信の代理中継所にし，大量のジャンクメールを密かに配信するだったとされる。作者は，大量のコンピューターに感染させ，スパム送信に利用できるプロキシサーバーのリストを複数のスパム業者に売ったと言われる。
　電子メールを介して感染し，メールには Your details，Thank you!，Re: Your application，Re: Wicked screensaver など，さまざまな件名が付き，差出人を詐称している。メールに添付されている .pif または .scr の拡張子を持つファイルをユーザーが開くと感染し，Windows 上に自分自身を winppr32.exe としてコピーし，winsst32.dat を作成する。レジストリを改変し，Windows 起動時に自分自身が起動するように変更する。独自の SMTP サーバーを利用しアドレス帳から無作為に選んだ電子メールアドレスに対し，ワーム自身を送りつける。また，同じネットワーク上にある他のコンピューターに自身をコピーしようとする。 UDPポート995～999 を開き，インターネットからファイルをダウンロードしようとする。 18日に欧州で広がりはじめ，８月19日に急速に広まり，ウィンドウズが稼働するコンピューター数万台に感染したとみられる。 AOL が監視する Eメールトラフィックは20日に約４倍に増加した。通常１日にスキャンする添付ファイル件数は1100万だが，20日はそれが4050万に増え，2370万がウイルス感染していた。うち2320万の添付ファイルが Sobig-F に感染していた。専門家らは，20日午後には感染メールが全世界でやりとりされるメールの少なくとも70％を占め，ピークを迎えたと見ている。メッセージラボ社は21日，電子メール19通につき１通が感染していたと報告。 2003年９月10日に活動を停止するようプログラムされている。
　感染した場合は，ネットワーク接続を切断し，Windows XP/Me では「システムの復元オプション」を無効する。ウイルス対策ソフトの定義ファイルを最新版に更新した上で，Windows Me/98/95 の場合は Safe モードで再起動，Windows XP/2000/NT の場合はウイルスのプロセス終了後，システム全体をスキャンし，検出されたファイルをすべて削除すればよい。また，レジストリに追加された値も削除する必要がある。
　2003年８月22日の攻撃は，セキュリティー専門家，FBI，マイクロソフト社が共同で講じた対策が功を奏し不発に終わったらしい。謎のプログラムは攻撃の直前までウェブサイトからダウンロードできなかったため，15時に攻撃が始まるまで，ダウンロードされたコードがどんな行動を起こすのか専門家にもわからなかった。ウイルスの作者たちは，感染コンピューターが導かれるアドレスを攻撃開始時刻のほんの数秒前に変更するという計画を立てていたとされる。しかし，攻撃に利用されることが判明していた20台のサーバーのうち，14時30分までに16台は停止し，３台は応答しなかった。最後の１台は，15時はまだ機能していたが，その直後に過剰なネットワーク・トラフィックのためにダウンしたらしい。 24日15時に，再びデータのダウンロードを試みる可能性があったが，これも不発だった。プログラム通り，９月10日に活動を停止した。

戻る　ウイルス，最初のメニュー