製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sobig.c@MM
企業ユーザ:
個人ユーザ:
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4268
対応定義ファイル
(現在必要とされるバージョン)
4296 (現在7593)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Sobig.C@mm (Symantec) :W32/Sobig.C@mm (F-Secure) :W32/Sobig.dam :WORM_SOBIG.C (Trend)
情報掲載日03/06/02
発見日(米国日付)03/05/31
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003年6月1日更新情報
感染報告が増加傾向にあるため、危険度を「中」に引き上げました。


この亜種は4267ウイルス定義ファイルでW32/Sobig.dam として検出されます。

・このワームはW32/Sobig.b@MM ウイルスと同じく、Eメール、ネットワーク共有を介して繁殖し、送信メッセージを作成するためのSMTPエンジンを内蔵しています。

■電子メール繁殖

・ワームは、感染マシンで開かれた受信メールに、ウイルス自身が内蔵しているSMTPエンジンを使ってメッセージを作成し送り付けます。

W32/Sobig@MM ウイルスと同じように、ワームによって作成される送信メッセージは、添付ファイル名の終わりの文字が除外されていることがあります。これは、添付ファイルの拡張子が「.PIF」ではなく「.PI」 となっているように、特定のメールクライアントが既存のファイル名から文字を削除されたことが原因である可能性があります。

・ターゲットとなるメールアドレスは、感染マシンのファイルから下記の拡張子と一緒に展開されます。

WAB
DBX
HTM
HTML
EML
TXT

・ワームは以下のようなメールで送られています。

差出人:bill@microsoft.com
※(他のどんなメールアドレスでも差出人になり得ます。下記注をご参照ください。)
件名:

  • Approved
  • Re: 45443-343556
  • Re: Application
  • Re: Approved
  • Re: Movie
  • Re: Screensaver
  • Re: Submited (004756-3463)
  • Re: Your application
添付ファイル
注意:上記にあるように、ファイル拡張子が「.PIF」から「.PI 」になっている可能性があります。
  • 45443.pif
  • application.pif
  • approved.pif
  • document.pif
  • documents.pif
  • movie.pif
  • screensaver.scr
  • submited.pif

■メール本文

・全ての情報は添付ファイル内にあります。

※注 この亜種は、差出人をごまかしたり、でっちあげたりします。そのため、表面上のメール送信者が、ウイルスの送信者でない可能性があります。

■共有ネットワーク繁殖

・このワームはネットワーク共有の数を調べ、下記のネットワークのパスにアクセスが可能な場合、その場所に自身をコピーします。

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\

■インストール

・ワームは実行中に、下記のファイルを%windir%ディレクトリに落とし込みます。

  • "mscvb32.exe" (approx 50kB) (自身のコピー)
  • "msddr.dat" (設定ファイル)

・下記のレジストリキーをシステムスタートアップをフックするために追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
ウィンドウズディレクトリ内にfile mscvb32.exe ファイルが存在する。

感染方法TOPへ戻る

Eメール、ネットワーク共有を介して感染します。

このワームはシステム時間の読み込み、チェックルーチンを含んでいます。日付が2003年6月8日以降になると、ワームは繁殖をしなくなりますが、PCに自身をインストールすることに成功する可能性はあります。

駆除方法TOPへ戻る

・このウイルスの検出は4267ウイルス定義ファイルでW32/Sobig.damとして検出されます。

・システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、4.1.60エンジンと4268ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

・手動で駆除する場合の手順

  • 1:「Windows」のテキストが表示されている間にF8キーを押して、「SafeMode」を選択し、システムをセーフモードで起動します。
  • 2:ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    mscvb32.exe
    msddr.dat
  • 3:以下のフォルダから異常な実行ファイルを削除します。
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    C:\Windows\All Users\Start Menu\Programs\Startup\
  • 4:レジストリを編集します。"System MScvb" の値を以下の場所から削除します。
    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
  • 5:システムを再起動します。