製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sober.c@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4310
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7600)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Sober.C (F-Secure)
W32.Sober.C@mm (Symantec)
WORM_SOBER.C (Trend)
情報掲載日03/12/22
発見日(米国日付)03/12/20
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
W32/Sober.c@MMウイルスはVisualBasicで書かれた大量メール送信型ウイルスです。以前発見されたW32/Sober.b@MMウイルスと同様、以下のような特徴を持ちます。

●SMTPエンジンを内臓している。
●ターゲットとなるメールアドレスは感染マシンから抽出。
●ワームはファイルの終わりにごみ情報を保持しているため、ファイルサイズが74,223バイトを超えることがあります。送信メッセージはさまざまな件名、本文(英語とドイツ語)でフォーマットされています。
●ワームが感染マシン上のメモリに確実に常駐するように、2つのプロセスが実行されます。このうちの1つのプロセスが終了すると、もう1つのプロセスが即座に再スタートします。

■電子メールを介した繁殖
・W32/Sober.c@MMは、感染マシンから、電子メールアドレスを採取して、%SysDir%ディレクトリのSAVESYSS.DLLファイルにそれを書き込みます。

ファイル名の例:C:\WINNT\SYSTEM32\SAVESYSS.DLL

ウイルスメールは、ワームが内蔵するSMTPエンジンにより作成されます。メールは英語またはドイツ語で書かれています。添付ファイル名はさまざまなものになります。

メッセージはさまざまな件名、本文、添付ファイルでフォーマットされています。

■件名

  • Betr: Klassentreffen
  • Testen Sie ihren IQ
  • Bankverbindungs- Daten
  • Neuer Dialer Patch!
  • Ermittlungsverfahren wurde eingeleitet
  • Ihre IP wurde geloggt
  • Sie sind ein Raubkopierer
  • Sie tauschen illegal Dateien aus
  • Ich hasse dich
  • Ich zeige sie an!
  • Sie Drohen mir
  • you are an idiot
  • why me?
  • I hate you
  • Preliminary investigation were started
  • Your IP was logged
  • You use illegal File Sharing ...

■添付ファイル

  • www.iq4you-german-test.com
  • www.freewantiv.com
  • www.free4manga.com
  • www.free4share4you.com
  • www.tagespolitik-umfragen.com
  • www.onlinegamerspro-worm.com
  • www.freegames4you-gzone.com
  • www.boards4all-terror432.com
  • www.anime4allfree.com
  • www.animepage43252.com
  • yourmail
  • alledigis
  • aktenz
(添付ファイルは以下のいずれかの拡張子がつきます。)
  • com
  • bat
  • cmd
  • pif
  • scr
  • exe
  • com

■インストール
ワームの実行中に以下のような偽エラーメッセージが表示されます。メッセージはファイル名を引用した形で始まります。

ワームはワーム自身を感染マシン上の%SysDir%内にインストールします。

%SysDir%\SYSHOSTX.EXE

さらに、W32/Sober.b@MMウイルスと同様に2つのワームのコピーが%SysDir% 内にドロップ(作成)されます。ファイル名はさまざまな形をとります。

ファイル名の例:
%SysDir%\ONDMONSTR.EXE
%SysDir%\DATMSCRYPT.EXE

これらのうち後者2つのファイルはモニタリングとワームのメモリ常駐維持を担っています。ワームプロセスの一方が終了すると、もう一方が、即時再スタートします。

システムスタートアップは2つのレジストリキー経由でフックされ、後者2つのコピーの1つをフックします。

例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "(string)" = %SysDir%\ONDMONSTR.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "(string)" = %SysDir%\ONDMONSTR.EXE

以下のファイル(AVERTのテスト時は0バイト)も同様に感染マシンにドロップ(作成)されます。

%SysDir%\HUMGLY.LKUR
%SysDir%\YFJQ.YQWM

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイル、レジストリキーが存在する。
・上記のような偽エラーメッセージが見られる。

駆除方法TOPへ戻る

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足