ウイルス情報

ウイルス名 危険度

W32/Sober.c@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4310
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7652)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 Sober.C (F-Secure)
W32.Sober.C@mm (Symantec)
WORM_SOBER.C (Trend)
情報掲載日 03/12/22
発見日(米国日付) 03/12/20
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

W32/Sober.c@MMウイルスはVisualBasicで書かれた大量メール送信型ウイルスです。以前発見されたW32/Sober.b@MMウイルスと同様、以下のような特徴を持ちます。

●SMTPエンジンを内臓している。
●ターゲットとなるメールアドレスは感染マシンから抽出。
●ワームはファイルの終わりにごみ情報を保持しているため、ファイルサイズが74,223バイトを超えることがあります。送信メッセージはさまざまな件名、本文(英語とドイツ語)でフォーマットされています。
●ワームが感染マシン上のメモリに確実に常駐するように、2つのプロセスが実行されます。このうちの1つのプロセスが終了すると、もう1つのプロセスが即座に再スタートします。

■電子メールを介した繁殖
・W32/Sober.c@MMは、感染マシンから、電子メールアドレスを採取して、%SysDir%ディレクトリのSAVESYSS.DLLファイルにそれを書き込みます。

ファイル名の例:C:\WINNT\SYSTEM32\SAVESYSS.DLL

ウイルスメールは、ワームが内蔵するSMTPエンジンにより作成されます。メールは英語またはドイツ語で書かれています。添付ファイル名はさまざまなものになります。

メッセージはさまざまな件名、本文、添付ファイルでフォーマットされています。

■件名

  • Betr: Klassentreffen
  • Testen Sie ihren IQ
  • Bankverbindungs- Daten
  • Neuer Dialer Patch!
  • Ermittlungsverfahren wurde eingeleitet
  • Ihre IP wurde geloggt
  • Sie sind ein Raubkopierer
  • Sie tauschen illegal Dateien aus
  • Ich hasse dich
  • Ich zeige sie an!
  • Sie Drohen mir
  • you are an idiot
  • why me?
  • I hate you
  • Preliminary investigation were started
  • Your IP was logged
  • You use illegal File Sharing ...

■添付ファイル

  • www.iq4you-german-test.com
  • www.freewantiv.com
  • www.free4manga.com
  • www.free4share4you.com
  • www.tagespolitik-umfragen.com
  • www.onlinegamerspro-worm.com
  • www.freegames4you-gzone.com
  • www.boards4all-terror432.com
  • www.anime4allfree.com
  • www.animepage43252.com
  • yourmail
  • alledigis
  • aktenz
(添付ファイルは以下のいずれかの拡張子がつきます。)
  • com
  • bat
  • cmd
  • pif
  • scr
  • exe
  • com

■インストール
ワームの実行中に以下のような偽エラーメッセージが表示されます。メッセージはファイル名を引用した形で始まります。

ワームはワーム自身を感染マシン上の%SysDir%内にインストールします。

%SysDir%\SYSHOSTX.EXE

さらに、W32/Sober.b@MMウイルスと同様に2つのワームのコピーが%SysDir% 内にドロップ(作成)されます。ファイル名はさまざまな形をとります。

ファイル名の例:
%SysDir%\ONDMONSTR.EXE
%SysDir%\DATMSCRYPT.EXE

これらのうち後者2つのファイルはモニタリングとワームのメモリ常駐維持を担っています。ワームプロセスの一方が終了すると、もう一方が、即時再スタートします。

システムスタートアップは2つのレジストリキー経由でフックされ、後者2つのコピーの1つをフックします。

例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "(string)" = %SysDir%\ONDMONSTR.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "(string)" = %SysDir%\ONDMONSTR.EXE

以下のファイル(AVERTのテスト時は0バイト)も同様に感染マシンにドロップ(作成)されます。

%SysDir%\HUMGLY.LKUR
%SysDir%\YFJQ.YQWM

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイル、レジストリキーが存在する。
・上記のような偽エラーメッセージが見られる。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る