McAfee for Small Businesses

・W32/Sober@MMは大量メール送信型ワームで、Visual Basicで作成されています。AVERTが報告を受けたファイルは、UPXで圧縮されていました。このワームは電子メールの添付ファイルとして以下のいずれかのファイル名で送信されます。

• Anti-Sob.bat
• anti-Sob.bat
• AntiTrojan.exe
• anti-trojan.exe
• AntiVirusDoc.pif
• Bild.scr
• Check-Patch.bat
• check-patch.bat
• CM-Recover.com
• CM-recover.com
• Funny.scr
• funny.scr
• Hengst.pif
• Liebe.com
• little-scr.scr
• love.com
• Mausi.scr
• nacked.com
• NackiDei.com
• NAV.pif
• Odin_Worm.exe
• perversion.scr
• Perversionen.scr
• pic.scr
• playme.exe
• potency.pif
• Privat.exe
• private.exe
• Removal-Tool.exe
• removal-tool.exe
• robot_mail.scr
• robot_mailer.pif
• RobotMailer.com
• schnitzel.exe
• screen_doc.scr
• Screen_Doku.scr
• security.pif

・このワームの特徴は、以下のとおりです。

• 自身のSMTPエンジンを内臓
• ローカルマシンのファイルからターゲット電子メールアドレスを収集
• 送信するメッセージでは、さまざまな件名、添付ファイル名、本文を使用
• ファイルの末尾にゴミデータを追加するので、ファイルサイズは63,488以上

・W32/Sober@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットマシンからターゲット電子メールアドレスを収集して、以下のファイルに書き込みます。

• %SysDir%\MACROMED\HELP\MEDIA.DLL

（%SysDir%は、Windows Systemディレクトリです。MACROMED\HELPディレクトリは、ワームが作成します。）

・W32/Sober@MMは、ターゲットマシンの%SysDir%ディレクトリに自身を何度もインストールします。

• %SysDir%\WINREG.EXE
• %SysDir%\FILEXE.EXE
• %SysDir%\SIMILARE.EXE

・以下のようなレジストリキーを追加して、システムの起動をフックします。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  Run "(文字列)" = %SysDir%\FILEXE.EXE
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Run "(文字列)" = %SysDir%\FILEXE.EXE

  （文字列）は、感染によってそれぞれ異なります。

・AVERTは、現在、W32/Sober@MMを分析中です。分析終了後、情報を更新します。