McAfee for Small Businesses

2003年6月1日更新情報
感染報告が増加傾向にあるため、危険度を「中」に引き上げました。

この亜種は4267ウイルス定義ファイルでW32/Sobig.dam として検出されます。

・このワームはW32/Sobig.b@MM ウイルスと同じく、Eメール、ネットワーク共有を介して繁殖し、送信メッセージを作成するためのSMTPエンジンを内蔵しています。

■電子メール繁殖

・ワームは、感染マシンで開かれた受信メールに、ウイルス自身が内蔵しているSMTPエンジンを使ってメッセージを作成し送り付けます。

・W32/Sobig@MM ウイルスと同じように、ワームによって作成される送信メッセージは、添付ファイル名の終わりの文字が除外されていることがあります。これは、添付ファイルの拡張子が「.PIF」ではなく「.PI」 となっているように、特定のメールクライアントが既存のファイル名から文字を削除されたことが原因である可能性があります。

・ターゲットとなるメールアドレスは、感染マシンのファイルから下記の拡張子と一緒に展開されます。

WAB
DBX
HTM
HTML
EML
TXT

・ワームは以下のようなメールで送られています。

差出人：bill@microsoft.com
※(他のどんなメールアドレスでも差出人になり得ます。下記注をご参照ください。)
件名：

• Approved
• Re: 45443-343556
• Re: Application
• Re: Approved
• Re: Movie
• Re: Screensaver
• Re: Submited (004756-3463)
• Re: Your application

• 45443.pif
• application.pif
• approved.pif
• document.pif
• documents.pif
• movie.pif
• screensaver.scr
• submited.pif

■メール本文

・全ての情報は添付ファイル内にあります。

※注 この亜種は、差出人をごまかしたり、でっちあげたりします。そのため、表面上のメール送信者が、ウイルスの送信者でない可能性があります。

■共有ネットワーク繁殖

・このワームはネットワーク共有の数を調べ、下記のネットワークのパスにアクセスが可能な場合、その場所に自身をコピーします。

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\

■インストール

・ワームは実行中に、下記のファイルを%windir%ディレクトリに落とし込みます。

• "mscvb32.exe" (approx 50kB) (自身のコピー)
• "msddr.dat" (設定ファイル)

・下記のレジストリキーをシステムスタートアップをフックするために追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe