clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
Category 1 VBS.BubbleBoy

最終更新日: 1999年11月10日 00:00 (米国時間)

Norton AntiVirusのユーザは、LiveUpdateを使用するか、またはウイルス定義ファイルのダウンロードページから最新のウイルス定義ファイルをダウンロードすることにより、このワームに対応することができます。

VBS.BubbleBoyはWindows 98とWindows 2000でのみ動作するVBスクリプトワームです。ただし、Windows Scripting Hostがインストールされている場合はWindows 95でも動作します。VBS.BubbleBoyは英語とスペイン語版のOS上でのみ動作し、Windows NTでは動作しません。

このワームが増殖するためには、Microsoft Outlook(またはExpress)とInternet Explorer 5が使用されていることが必要条件となります。

このワームはMicrosoft OutlookとIEの既知のセキュリティホールを利用し、ユーザが電子メールを閲覧したときにUPDATE.HTAというスクリプトファイルを挿入します。この動作は、添付ファイルを保存したり実行しなくても行われます。

UPDATE.HTAはスタートメニューの[プログラム]−[スタートアップ]に挿入されます。そのため、感染処理はコンピュータが次回起動されるまでは実行されません。UPDATE.HTAは、MS Outlookを使用してアドレス帳に登録されている宛先全員にワームの電子メールを送りつけるスクリプトファイルです。

Microsoft OutlookとIEのセキュリティホールに対応する修正プログラムをインストールすれば、VBS.BubbleBoyは増殖できなくなります。このセキュリティホールの詳細については、下記Webサイトを参照してください。

http://www.microsoft.com/Security/Bulletins/MS99-032faq.asp (英語)

この問題に対応する修正プログラムは、マイクロソフトの下記Webページから入手できます。

http://www.microsoft.com/JAPAN/technet/security/bulletin/MS99-032.asp

また、IE5のインターネットセキュリティ設定が[高]に設定されている場合も、VBS.BubbleBoyは増殖できません。

現在、シマンテックにはVBS.BubbleBoyによる感染報告は一切届いていません。このウイルスの発信地はアルゼンチンと推定されており、ウイルス作者から直接アンチウイルスソフトメーカー各社へ送信されたものだと思われます。

種別: ウイルス, ワーム

感染サイズ: 4992バイト


  • 対応日(Intelligent Updater)*
    		•  99/11/15(米国時間)
  • 対応日(Live UpdateTM)**
    		•  99/11/15(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    Low Low Low

    被害状況:

    ダメージ:

    感染力:

    感染力

    • 感染対象: Windowsスタートアップディレクトリ、電子メール

    technical details

    セキュリティホールの修正プログラムをインストールしていないシステム上で電子メールを開くと、即座にUPDATE.HTAファイルが挿入されます。この電子メールには次の件名が付いています。

     Subject: BubbleBoy is back!

    メール本文には次のメッセージが含まれています。

     The BubbleBoy incident, pictures and sounds
     http://www.towns.com/dorms/tom/bblboy.htm

    このメールは次のように表示されます。



    メール本文は、VBスクリプトを使用したHTML形式で作成されています。VBスクリプトは通常は表示されず、ユーザ側には何も確認せずに自動的に実行されます(セキュリティホールのため)。

    このスクリプトは、次の場所にUPDATE.HTAというファイルを作成します。

    C:\WINDOWS\START MENU\PROGRAMS\STARTUP

    または

    C:\WINDOWS\MENU INICIO\PROGRAMAS\INICIO

    これらのディレクトリが存在しない場合、VBS.BubbleBoyは感染に失敗します。UPDATE.HTAには大量メール送信を行うVBスクリプトも含まれています。

    このワームにより送信される電子メールには添付ファイルはありません。ワームは全てメッセージ本文に含まれる不可視のVBスクリプトに含まれています。

    次回のWindowsの起動時にVBS.BubbleBoyは自動的に起動し、次のことを行います。

    1. 次のレジストリキーで登録されているユーザ名をBubbleBoyに変更する。

       HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\RegisteredOwner

    2. 次のレジストリキーで登録されている組織名をVandelay Industriesに変更する。

        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
       CurrentVersion\RegisteredOrganization

    3. 次のレジストリキーの値がOUTLOOK.BubbleBoy 1.0 by Zuluに設定されているか調べ、設定されている場合、感染ルーチンを停止し、大量メール送信を2度以上行わない。

        HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\

    4. MAPIを使用して、MS Outlookのアドレス帳に登録されている全てのメールアドレスに電子メールを送りつける(件名、本文は前述参照)。このメール項の送信履歴はMS Outlookに表示されません。

    5. ワーム処理を実行した印として、次のレジストリキーを追加する。

       HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy\ =
        OUTLOOK.Bubbleboy 1.0 by Zulu

      最後に、次のメッセージを表示する。

        System error, delete "UPDATE.HTA" from
        the startup folder to solve this problem.

    変種情報
    変種B(VBS.BubbleBoyとして検出されます)は暗号化されています。変種Bは、ワーム処理を実行した印として、次のレジストリキーを設定します。

      HKLM\Software\OUTLOOK.BubbleBoy\ =
      OUTLOOK.Bubbleboy 1.1 by Zulu

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    ワームを駆除するには、次の手順にしたがってください。

    1. 次のファイルを削除する。

        C:\WINDOWS\START MENU\PROGRAMS\STARTUP\UPDATE.HTA

        または

        C:\WINDOWS\MENU INICIO\PROGRAMAS\INICIO\UPDATE.

    2. 次のレジストリキーを元の値に戻す。

        HKEY_LOCAL_MACHINE\Software\Microsoft\
        Windows\CurrentVersion\RegisteredOwner

        HKEY_LOCAL_MACHINE\Software\Microsoft\
       Windows\CurrentVersion\RegisteredOrganization

    3. 次のレジストリキーを削除する。

        HKLM\Software\OUTLOOK.BubbleBoy\

      (ただし、このキーを残しておけば、ワームが再び増殖することを防ぐことができます。)

    感染予防情報

    マイクロソフトはOutlookで感染したメールを閲覧しただけでワームが増殖できてしまう問題に対応する修正プログラムを提供しています。SARCでは、この修正プログラムを下記のWebページからダウンロードすることをお勧めしています。

    http://www.microsoft.com/JAPAN/technet/security/bulletin/MS99-032.asp

    また、下記のwebサイトに定期的にアクセスして、マイクロソフトのセキュリティ情報を確認することをお勧めします。

    http://www.microsoft.com/japan/technet/default.asp

    Norton AntiVirusのユーザは、LiveUpdateを使用するか、またはウイルス定義ファイルのダウンロードページから最新のウイルス定義ファイルをダウンロードすることにより、このワームに対応することができます。