ワーム「Stration」の亜種に注意

う〜ん、一時期殆どウイルスメールが届かなくなったんですけど、また増えだしてるみたいですね*1。ノートンさんで何度かすり抜けてます。とりあえず今日来てた分をVIRUSTOTALでチェック

AntiVir 7.2.0.31 10.20.2006 TR/Dldr.Stration.C.2
Authentium 4.93.8 10.20.2006 W32/Warezov.DM
Avast 4.7.892.0 10.19.2006  no virus found 
AVG 386 10.19.2006  no virus found 
BitDefender 7.2 10.20.2006  no virus found 
CAT-QuickHeal 8.00 10.19.2006  no virus found 
ClamAV devel-20060426 10.20.2006 Worm.Stration.JE 
DrWeb 4.33 10.19.2006  no virus found 
eTrust-InoculateIT 23.73.30 10.20.2006  no virus found 
eTrust-Vet 30.3.3143 10.19.2006  no virus found 
Ewido 4.0 10.19.2006  no virus found 
Fortinet 2.82.0.0 10.20.2006  no virus found 
F-Prot 3.16f 10.20.2006 W32/Warezov.DM 
F-Prot4 4.2.1.29 10.19.2006 Possibly a new unknown PE_Virus!Maximus 
Ikarus 0.2.65.0 10.19.2006  no virus found 
Kaspersky 4.0.2.24 10.20.2006  no virus found 
McAfee 4877 10.19.2006  no virus found 
Microsoft 1.1603 10.19.2006  no virus found 
NOD32v2 1.1817 10.19.2006 probably unknown NewHeur_PE virus 
Norman 5.90.23 10.19.2006  no virus found 
Panda 9.0.0.4 10.19.2006  no virus found 
TheHacker 6.0.1.101 10.19.2006  no virus found 
UNA 1.83 10.19.2006  no virus found 
VBA32 3.11.1 10.19.2006  no virus found 
VirusBuster 4.3.7:9 10.19.2006 no virus found 

Aditional Information 
File size: 9233 bytes 
MD5: b8ade0aa2811658f1a2ff526e4534929 
SHA1: 7406b6cf66f6a9c83f2ea1710217c645496bd670 
packers: UPX 

ウイルスバスター君はノートンが逃したやつをGENERIC(ヒューリスティックに似た機能かな?汎用名ですね。)で検出したりしますね。GENERIC なので対応が早いとは言えないのですが、最近のソフトの中では最もウイルスメールに対する検出は確かと言えるかも。

私の経験上の話なんで一概には言えませんが・・・検出力最強との呼び声高い「Kaspersky」ですが、この種のワーム(ウイルスメール)に関しては対応が早いとは思えないですね(※あっと、他社と比べてそれほどでは、って意味で)。中堅メーカーは大手に比べ新種の対応が早いことが多いんですが(日に数回あることも多い)、2〜3日アップデートがないことがあったりしますので微妙なとこです(おやすみがあるのかな? AVG や NOD32 とか)。NOD32のヒューリスティックでの検出は確実で優秀だと思いますが、既に他社は「定義」で対応してることもあったりでやや拍子抜けすることも・・・

【10/21 追記】ノートンさんは、Rapid ReleaseIntelligent Updaterのプレリリース版になるのかな)で対応済みでした。提出後数分後に返信が来てましてびっくり。(※遅い時は1ヵ月後とか既に忘却の彼方なんて時もあるんですけどねw)

10/22追記 その2】対応したはずなのに...

EdMax と 秀丸メールで受信してたので気付きませんでしたが、この「Stration.DB」はノートンの電子メールスキャンで検出されません(Outlook / Outlook Express で確認)。EdMax・秀丸では受信時に Auto-Protect で検出されました。Mytob.U など他のウイルスメールは検出されてるのでメールスキャンが止まってるというわけではないと思います。なぜだろう・・・こんなこともあるのですね。

*1:OP25B などの対策が実施されると、一時的に激減したりするのですが、徐々に増えて行くという繰り返しなのかも。