W32/SirCam@MM :サーカムウイルスに注意

詳細は次のリンクを参照してください。
ウイルス情報: シマンテック社ウイルス情報ページ

駆除ツール : シマンテック社駆除ツール
           日本ネットワークアソシエイツ(McAfee)社駆除ツール

情報流出の危険についてhttp://www.zdnet.co.jp/news/0107/25/sircam2.html


このウイルスはPC内に保存されているメールアドレスを調べ、それらに対してウイルスメールを送付します。
その際の送信先や送信の履歴は一切残りません。(謝罪やデータ回収はほぼ不可能です)
また、感染者は自分のアドレスからウイルスメールを大量送付された上に、
10/16日に一定確率でディスク上の全データが破壊されます。

期間があるとはいえウイルスをまいてしまった場合の信用失墜は想像に難くありません。
次項の重要事項を参照し、態勢を整えてください。

また、本文がHi! How are you?で始まるメールを受信した場合、添付ファイルは不用意に開かず、こちらに従って対処してください。

凶悪なウイルスですがメールにて媒介される場合は添付ファイルを開かなければ感染しません。
他に共有ファイルやサーバ経由で感染する可能性があります。全機体にアンチウイルスソフトを導入してください。

予防策  サーカム・ウイルスを受信した場合の対処  感染した場合の対処

次に一般的に危険なファイルのアイコンを提示します。
本ウイルスとは関係なく、これらを受信した場合はウイルスの可能性を念頭に置いて対処してください。

絶対に開いてはいけない添付ファイル

実際のアイコン
真の拡張子(一例) .bat .exe .pif .vbs

上記アイコンで表示されるファイルはプログラムであり、
メールに添付されている場合、ウイルスである可能性があります。
見知らぬアドレスからならば削除し、知人の場合は開かずに電話などで確認を取ってください。

また、これらの形式での添付はマナー違反となりますので避けてください。

重要事項
ウイルスに対する態勢を整えてください。

重要なファイルをマイドキュメントから別の場所へ移してください。
 特に個人情報、経理、契約を扱う部署は必ず行ってください。
 (本ウイルスの感染者はマイドキュメント下のデータを間接的に漏洩させることになります。)

共有サーバを含む全機体へのアンチウイルスソフトの導入を行ってください。
 ノートンアンチウイルス、鉄壁、ウイルススキャンを推奨します。
  フリーユーズのアンチウイルスソフト(アンチドート他)を導入されている場合でも、
 今回のウイルスは初期検出が非常に重要となりますので
 一定期間(10月16日まで)上記のベンダの製品と併用してください。

ウイルス定義ファイルの更新を行ってください。
 ウイルスソフトによってはエンジンと呼ばれる部分も更新する必要があるようです。
 各ベンダのHPにて詳細を確認してください。

メールを常時ウイルス検索の対象とする

最新の定義を適用後、全てのHDDをスキャンする
 その際はゴミ箱フォルダを含めて行ってください。

サーカム・ウイルスが添付されたメールを受信した場合

こちらを今一度参照し、ウイルスであるか最終確認をする。
・過去に同様のメールを受信していないかメールボックスを見る(7月中のものだけで結構です)
  →受信していた場合は感染している可能性がありますので感染した場合の対処を行ってください。

・送信元を控えてメールボックスから該当メールを削除→”ゴミ箱を空にする”を実行(WINDOWSのみ)

・受信した旨を送信元のアドレス、受信したPCの設置場所を明記の上、webbox@yokohama-cu.ac.jpまで連絡してください。

・ウイルスに対する抵抗力を高めます。こちらを実行してください。

サーカム・ウイルスに感染した場合

・感染者は先ず感染した機体をネットワークから切り離してください。(LANケーブルを抜いてください。)

・サーカムウイルスの送信元、感染したPCの設置場所をwebbox@yokohama-cu.ac.jpまでお知らせ下さい。

・次に他のマシンから駆除ツールを次のアドレスからダウンロードしてください。
  http://www.symantec.com/region/jp/sarcj/data/w/w32.sircam.worm@mm.removal.tool.html

・ツールを解凍し、フロッピーにコピーします。

・感染しているPCにフロッピーを入れ、駆除ツールを実行します。

・駆除に成功した場合でも再度感染する可能性がありますのでこちらを実行してください。
 →万一駆除に失敗した場合はPCをフォーマットする必要があります。
  が、ネットワークから切り離されていればとりあえず被害の拡大は防げますので、
  重要な書類のバックアップを行い、最新のアンチウイルスソフトでの駆除(最新の定義ファイルにて)を試みてください。
  それでも駆除できない場合は残念ながら駆除する方法はありません。
  PC付属の説明書、リカバリディスクを用いて再インストール作業を行ってください。  

・駆除及びアンチウイルスソフト(最新定義)の導入後、ネットワークに接続して通常通りご使用下さい。

 サーカム・ウイルス感染メールの一例


同一感染者から発せられた感染メール

左図は全て同一感染者から送られたメールです。
タイトルは英文で同一ではありません。

これはサーカムにマイドキュメント内の
データファイルにウイルスを寄生させたうえで
同ファイルを送信する能力が備わっているためです。

例えばマイドキュメントに成績一覧.docが在る場合
送信されるウイルスメールはデータ+ウイルスの
成績一覧.doc.pif(拡張子はランダム)になります。



今回のウイルスを判別する決め手となるメール本文です。
本文や添付ファイル(絶対に開かないこと)からウイルスであるか慎重に判断をしてください。

本ウイルスの本文は英語、スペイン語の2パターンがあります。

英語
Hi! How are you? [ 以下の四文のいずれかが選ばれます。]

・I send you this file in order to have your advice
・I hope you can help me with this file that I sendI hope ・you like the file that I sendo youThis is the file with the  information that you ask forSee you later. Thanks

スペイン語
Hola como estas ?

[ 以下の四文のいずれかが選ばれます。]
・Te mando este archivo para que me des tu punto de vista
・Espero me puedas ayudar con el archivo que te mando
・Espero te guste este archivo que te mando
・Este es el archivo con la informacin
que me pediste Nos vemos pronto, gracias.

このような文面で、かつ添付ファイルのアイコンがこれらである場合、
間違いなくそのメールはサーカムウイルスです。
送信元を控えた上でメールを削除し、上記重要事項を行ってください。


特に注意すべきはHPを開設している方で、
HTMLに記載したアドレスもターゲットとされていますので、閲覧した感染者よりメールが殺到する可能性があります。