2003年6月18日更新情報
・W32/Sobig.d@MMは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。
http://www.theregister.co.uk/content/56/31292.html
・W32/Sobig.d@MMは、定義ファイル4266(2003年5月21日発行)以降を使用するとW32/Sobig.damとして検出されます。したがって、4266以降の定義ファイルへアップデート済みの場合は、W32/Sobig.d@MMに対応しています。定義ファイル4272では、W32/Sobig.d@MMとしてウイルス名で検出されます。
・W32/Sobig.d@MMはW32/Sobig.c@MMに非常によく似ており、電子メールとネットワーク共有を介して繁殖します。自身のSMTPエンジンで送信メッセージを作成します。
電子メールを介した繁殖
・W32/Sobig.d@MMは、ターゲットマシンから抽出した宛先に、自身のSMTPで作成した電子メールメッセージで自身を送信します。
・このワームが作成した送信メッセージでは、32/Sobig@MMと同様に、添付ファイル名の最後の1文字が欠けています(添付ファイルの拡張子が“.PIF”ではなく、“.PI”です)。
・W32/Sobig.d@MMは、以下のような電子メールで届きます。
送信者:admin@support.com *(さまざまなアドレスが使用されます。下記の注をご覧ください)
件名:(以下のいずれか)
- Application Ref: 456003
- Re: Accepted
- Re: App. 00347545-002
- Re: Documents
- Re: Movies
- Re: Screensaver
- Re: Your Application (Ref: 003844)
- Your Application
本文:See the attached file for details
添付ファイル:
注:上記で説明したように、ファイルの拡張子が1文字欠けています。(例:“.PIF”ではなく、“.PI”)
- accepted.pif
- app003475.pif
- application.pif
- application844.pif
- applications.pif
- document.pif
- movies.pif
- ref_456.pif
- screensaver.scr
*注:W32/Sobig.d@MMは送信者アドレスを偽造するので、表示された送信者がウイルスの送信者ではないと考えられます。
ネットワーク共有を介した繁殖
・ネットワーク共有を検索し、パスがアクセス可能な場合(および書き込みアクセスが許可されている場合)は、以下のロケーションに自身をコピーします。
- \Documents and Settings\All Users\Start Menu\Programs\Startup\
- \Windows\All Users\Start Menu\Programs\Startup\
インストール
・W32/Sobig.d@MMが実行されると、%WinDir%ディレクトリに以下のファイルを落とし込みます。
- CFRTB32.EXE(約59kB、ワームのコピー)
- RSSP32.DAT(設定ファイル)
・以下のレジストリキーを追加して、システムの起動をフックします。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"SFtrb Service" = %WinDir%\CFRTB32.EXE
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SFtrb Service" = %WinDir%\CFRTB32.EXE
( %WinDir%は、デフォルトのWindowsディレクトリです。例:C:\WINNT、C:\WINDOWS)
リモートNTPサーバへのアクセス
・W32/Sobig.d@MMは、リモートのNTPサーバのIPアドレスを記載したリストを内蔵しています。これらのアドレスに、NTPパケットを送信します(送信先ポート番号:123)。
