平成１４年１０月２日


　平素はネットウェーブ四国のインターネットサービスをご利用いただきまして、
誠にありがとうございます。

　ワームに分類される「トロイの木馬型」ウィスルの感染報告が急増しております。
下記の情報をご参照ください。


１　情報源

〇トレンドマイクロ
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?Vname=WORM_BUGBEAR.A

○日本ネットワークアソシエイツ
　http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Bugbear@MM

〇シマンテック
　http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear@mm.html


２　概要

　このウイルスは、Windows32ビット環境（Windows95.98.ME.NT.2000.XP）で動作
するウイルスで、感染すると、アンチウィルスソフトやファイアウォールソフトす
べてのプロセスを停止する。またローカルシステムで検出されたアドレスに自身を
電子メールで送信します。送信者のアドレス欄には、ウイルスが作成した詐称のア
ドレスが記載されます。送信されるメールの内容は次のとおりです。


件名：「Announcement」他

本文：メール本文は一定ではありません。また受信者のシステムの中のファイルの
　　　断片によって構成されている場合もあります。

添付ファイル：ランダムなファイル名.拡張子(.scr .pif .exe) また添付ファイル
　　　　　　　の拡張子にはユーザーを欺くための二重拡張子（例：XXX.doc.pif)
　　　　　　　が使われます。


３　特性

このようなタイプのワームでは、「差出人」を感染コンピュータ内で取得した任意
のメールアドレスとして設定する場合があります。そのため「差出人」として設定
されているメールアドレス使用者のコンピュータが感染しているとは限りません。
TCPポート「36794」を開き、ハッカーが感染したコンピューターを遠隔制御できる
ようにする。その際、BugBearがあらかじめ指定したメールアドレスにキーボード打
鍵履歴なども送信しているため、コンピューターのパスワードなど重要な情報が漏
れる可能性があります。


４　対策

(1) Microsoftセキュリティ情報「MS01-020」からダウンロードできる最新のパッチ
　　をあてる。
(2) Microsoft Outlook,Outlook Expressのプレビュー機能を停止する。
(3) 当該ウイルスに対応したワクチンデータに更新する。


５　対応方法

(1) 当該ウイルスに対応したワクチンデータに更新
(2) 各ベンダーの駆除ツールを利用する。
〇シマンテック
　http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear@mm.removal.tool.html
○トレンドマイクロ
　http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
○ソフォス
　http://www.sophos.co.jp/support/bugbear.html