2003年5月21日更新情報
5/19にW32/Palyh@MMとして公開したウイルスは、検出名がW32/Sobig.b@MMに変更されました。これはこのウイルスがW32/Sobig@MMの新しい亜種であることを明確にするための措置です。本日発行の定義ファイル4266よりこのウイルスはW32/Sobig.b@MMとして検出されます。
2003年5月18日更新情報
このウイルスの検出および駆除機能は本日発行のウイルス定義ファイル4265に含まれています。
・このワームは次のような特徴を持つため、W32/Sobig@MM ウイルスと酷似しています。
・MSVCで作成されている
・UPX圧縮されている
・Eメール、ネットワーク共有を介して繁殖する
・送信メッセージを作成するためのSMTPエンジンを内蔵。
■電子メール繁殖
・ワームは、感染マシンで開かれた受信メールに、ウイルス自身が内蔵しているSMTPエンジンを使ってメッセージを作成し送り付けます。
・W32/Sobig@MM ウイルスと同じように、ワームによって作成される送信メッセージは、添付ファイル名の終わりの文字が除外されていることがあります。これは、添付ファイルの拡張子が「.PIF」ではなく「.PI」 となっているように、特定のメールクライアントが既存のファイル名から文字を削除されたことが原因である可能性があります。
・ターゲットとなるメールアドレスは、感染マシンのファイルから下記の拡張子と一緒に展開されます。
WAB
DBX
HTM
HTML
EML
TXT
・ワームは以下のようなメールで送られています。
差出人:support@microsoft.com
件名:
- Re: My application
- Re: Movie
- Cool screensaver
- Screensavers
- Re: My details
- Your password
- Re: Approved (Red. 3394-65467)
- Approved (Ref. 38446-263)
- Your details
添付ファイル
注意:上記にあるように、ファイル拡張子が「.PIF」から「.PI 」になっている可能性があります。
- ref-394755.pi
- approved.pif
- ref-394755.pif
- password.pif
- password.pif
- ref-394755.pif
- application.pi
- screen_doc.pi
- download1053122425102485703.uue
- doc_details.pif
- download1053122425102485703.uue
- approved.pi
- _approved.pif
■メール本文
・全ての情報は添付ファイル内にあります。
■共有ネットワーク繁殖
・このワームはネットワーク共有の数を調べ、下記のネットワークのパスにアクセスが可能な場合、その場所に自身をコピーします。
\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\
■ネットワーク
・W32/Palyh@MMは%windir%ディレクトリに下記のうちのいずれかのファイルを落とし込みます。
- "msccn32.exe" (55,155 bytes) (自身の複製)
- "hnks.ini" (設定ファイル)
- "mdbrr.ini" (設定ファイル)
・下記のレジストリキーをシステムスタートアップをフックするために追加します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe
