製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sober@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4300
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7535)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Sober (AVP):W32.Sober@mm (Symantec):Win32.HLLM.Odin (Dialogue Science):Win32/Sober.A (Eset)
情報掲載日03/10/27
発見日(米国日付)03/10/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/18W32/Expiro!7...
08/18GenericR-AXH...
08/18Generic.dx!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7535
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Sober@MMは大量メール送信型ワームで、Visual Basicで作成されています。AVERTが報告を受けたファイルは、UPXで圧縮されていました。このワームは電子メールの添付ファイルとして以下のいずれかのファイル名で送信されます。

  • Anti-Sob.bat
  • anti-Sob.bat
  • AntiTrojan.exe
  • anti-trojan.exe
  • AntiVirusDoc.pif
  • Bild.scr
  • Check-Patch.bat
  • check-patch.bat
  • CM-Recover.com
  • CM-recover.com
  • Funny.scr
  • funny.scr
  • Hengst.pif
  • Liebe.com
  • little-scr.scr
  • love.com
  • Mausi.scr
  • nacked.com
  • NackiDei.com
  • NAV.pif
  • Odin_Worm.exe
  • perversion.scr
  • Perversionen.scr
  • pic.scr
  • playme.exe
  • potency.pif
  • Privat.exe
  • private.exe
  • Removal-Tool.exe
  • removal-tool.exe
  • robot_mail.scr
  • robot_mailer.pif
  • RobotMailer.com
  • schnitzel.exe
  • screen_doc.scr
  • Screen_Doku.scr
  • security.pif

・このワームの特徴は、以下のとおりです。

  • 自身のSMTPエンジンを内臓
  • ローカルマシンのファイルからターゲット電子メールアドレスを収集
  • 送信するメッセージでは、さまざまな件名、添付ファイル名、本文を使用
  • ファイルの末尾にゴミデータを追加するので、ファイルサイズは63,488以上

・W32/Sober@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットマシンからターゲット電子メールアドレスを収集して、以下のファイルに書き込みます。

  • %SysDir%\MACROMED\HELP\MEDIA.DLL
  • (%SysDir%は、Windows Systemディレクトリです。MACROMED\HELPディレクトリは、ワームが作成します。)

・W32/Sober@MMは、ターゲットマシンの%SysDir%ディレクトリに自身を何度もインストールします。

  • %SysDir%\WINREG.EXE
  • %SysDir%\FILEXE.EXE
  • %SysDir%\SIMILARE.EXE

・以下のようなレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "(文字列)" = %SysDir%\FILEXE.EXE
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "(文字列)" = %SysDir%\FILEXE.EXE

    (文字列)は、感染によってそれぞれ異なります。

・AVERTは、現在、W32/Sober@MMを分析中です。分析終了後、情報を更新します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・上記のファイルとレジストリキーが存在します。

感染方法TOPへ戻る

・W32/Sober@MMは、ターゲットマシンから抽出した電子メールアドレスに自身を送信することで繁殖します。自身のSMTPエンジンを使用して、送信メッセージを作成します(件名、添付ファイル名、本文はさまざまです)。

駆除方法TOPへ戻る

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

・AVERTはW32/Sober@MMを検出・駆除するためのStingerツールの無償ダウンロードを開始しました。ダウンロードはこちら