W32/Sober.c@MMウイルスはVisualBasicで書かれた大量メール送信型ウイルスです。以前発見されたW32/Sober.b@MMウイルスと同様、以下のような特徴を持ちます。
●SMTPエンジンを内臓している。
●ターゲットとなるメールアドレスは感染マシンから抽出。
●ワームはファイルの終わりにごみ情報を保持しているため、ファイルサイズが74,223バイトを超えることがあります。送信メッセージはさまざまな件名、本文(英語とドイツ語)でフォーマットされています。
●ワームが感染マシン上のメモリに確実に常駐するように、2つのプロセスが実行されます。このうちの1つのプロセスが終了すると、もう1つのプロセスが即座に再スタートします。
■電子メールを介した繁殖
・W32/Sober.c@MMは、感染マシンから、電子メールアドレスを採取して、%SysDir%ディレクトリのSAVESYSS.DLLファイルにそれを書き込みます。
ファイル名の例:C:\WINNT\SYSTEM32\SAVESYSS.DLL
ウイルスメールは、ワームが内蔵するSMTPエンジンにより作成されます。メールは英語またはドイツ語で書かれています。添付ファイル名はさまざまなものになります。
メッセージはさまざまな件名、本文、添付ファイルでフォーマットされています。
■件名
- Betr: Klassentreffen
-
Testen Sie ihren IQ
-
Bankverbindungs- Daten
-
Neuer Dialer Patch!
-
Ermittlungsverfahren wurde eingeleitet
-
Ihre IP wurde geloggt
-
Sie sind ein Raubkopierer
-
Sie tauschen illegal Dateien aus
-
Ich hasse dich
-
Ich zeige sie an!
-
Sie Drohen mir
- you are an idiot
- why me?
- I hate you
-
Preliminary investigation were started
-
Your IP was logged
-
You use illegal File Sharing ...
■添付ファイル
- www.iq4you-german-test.com
-
www.freewantiv.com
-
www.free4manga.com
-
www.free4share4you.com
-
www.tagespolitik-umfragen.com
-
www.onlinegamerspro-worm.com
-
www.freegames4you-gzone.com
-
www.boards4all-terror432.com
-
www.anime4allfree.com
-
www.animepage43252.com
-
yourmail
-
alledigis
-
aktenz
(添付ファイルは以下のいずれかの拡張子がつきます。)
- com
-
bat
-
cmd
-
pif
-
scr
-
exe
-
com
■インストール
ワームの実行中に以下のような偽エラーメッセージが表示されます。メッセージはファイル名を引用した形で始まります。
ワームはワーム自身を感染マシン上の%SysDir%内にインストールします。
%SysDir%\SYSHOSTX.EXE
さらに、W32/Sober.b@MMウイルスと同様に2つのワームのコピーが%SysDir% 内にドロップ(作成)されます。ファイル名はさまざまな形をとります。
ファイル名の例:
%SysDir%\ONDMONSTR.EXE
%SysDir%\DATMSCRYPT.EXE
これらのうち後者2つのファイルはモニタリングとワームのメモリ常駐維持を担っています。ワームプロセスの一方が終了すると、もう一方が、即時再スタートします。
システムスタートアップは2つのレジストリキー経由でフックされ、後者2つのコピーの1つをフックします。
例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "(string)" = %SysDir%\ONDMONSTR.EXE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "(string)" = %SysDir%\ONDMONSTR.EXE
以下のファイル(AVERTのテスト時は0バイト)も同様に感染マシンにドロップ(作成)されます。
%SysDir%\HUMGLY.LKUR
%SysDir%\YFJQ.YQWM
