製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sobig.d@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4266
対応定義ファイル
(現在必要とされるバージョン)
4296 (現在7599)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Sobig.D@mm (NAV):Win32.HLLM.Reteras (Dialogue Science)
情報掲載日03/06/19
発見日(米国日付)03/06/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/21W32/Akbot!35...
10/21RDN/Generic ...
10/21RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7599
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003年6月18日更新情報

・W32/Sobig.d@MMは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

http://www.theregister.co.uk/content/56/31292.html

・W32/Sobig.d@MMは、定義ファイル4266(2003年5月21日発行)以降を使用するとW32/Sobig.damとして検出されます。したがって、4266以降の定義ファイルへアップデート済みの場合は、W32/Sobig.d@MMに対応しています。定義ファイル4272では、W32/Sobig.d@MMとしてウイルス名で検出されます。

・W32/Sobig.d@MMはW32/Sobig.c@MMに非常によく似ており、電子メールとネットワーク共有を介して繁殖します。自身のSMTPエンジンで送信メッセージを作成します。

電子メールを介した繁殖

・W32/Sobig.d@MMは、ターゲットマシンから抽出した宛先に、自身のSMTPで作成した電子メールメッセージで自身を送信します。

・このワームが作成した送信メッセージでは、32/Sobig@MMと同様に、添付ファイル名の最後の1文字が欠けています(添付ファイルの拡張子が“.PIF”ではなく、“.PI”です)。

・W32/Sobig.d@MMは、以下のような電子メールで届きます。

送信者:admin@support.com *(さまざまなアドレスが使用されます。下記の注をご覧ください)

件名:(以下のいずれか)

  • Application Ref: 456003
  • Re: Accepted
  • Re: App. 00347545-002
  • Re: Documents
  • Re: Movies
  • Re: Screensaver
  • Re: Your Application (Ref: 003844)
  • Your Application

本文:See the attached file for details

添付ファイル:

注:上記で説明したように、ファイルの拡張子が1文字欠けています。(例:“.PIF”ではなく、“.PI”)

  • accepted.pif
  • app003475.pif
  • application.pif
  • application844.pif
  • applications.pif
  • document.pif
  • movies.pif
  • ref_456.pif
  • screensaver.scr

*注:W32/Sobig.d@MMは送信者アドレスを偽造するので、表示された送信者がウイルスの送信者ではないと考えられます。

ネットワーク共有を介した繁殖

・ネットワーク共有を検索し、パスがアクセス可能な場合(および書き込みアクセスが許可されている場合)は、以下のロケーションに自身をコピーします。

  • \Documents and Settings\All Users\Start Menu\Programs\Startup\
  • \Windows\All Users\Start Menu\Programs\Startup\

インストール

・W32/Sobig.d@MMが実行されると、%WinDir%ディレクトリに以下のファイルを落とし込みます。

  • CFRTB32.EXE(約59kB、ワームのコピー)
  • RSSP32.DAT(設定ファイル)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "SFtrb Service" = %WinDir%\CFRTB32.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "SFtrb Service" = %WinDir%\CFRTB32.EXE
    ( %WinDir%は、デフォルトのWindowsディレクトリです。例:C:\WINNT、C:\WINDOWS)

リモートNTPサーバへのアクセス

・W32/Sobig.d@MMは、リモートのNTPサーバのIPアドレスを記載したリストを内蔵しています。これらのアドレスに、NTPパケットを送信します(送信先ポート番号:123)。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ %Windows%ディレクトリにCFTRB32.EXEファイル(59,378バイト)が存在します。

・上記のレジストリフックが存在します。

・予期せず、リモートサーバへのNTPトラフィックが発生します(送信先ポート番号:123)。

感染方法TOPへ戻る

・電子メールとネットワーク共有を介して繁殖します。

・システム日付/時刻の検索および確認という発病ルーチンがあります。

・2003年7月2日以降は繁殖しません(ただし、ターゲットマシンに自身をインストールします)。

駆除方法TOPへ戻る
・このウイルスの検出は4266ウイルス定義ファイルでW32/Sobig.damとして検出されます。 4272ウイルス定義ファイルにはW32/Sobig.d@MMの検出と駆除機能が含まれています。

・システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、4.1.60エンジンと4268ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

・手動で駆除する場合の手順

  1. 「Windows」のテキストが表示されている間にF8キーを押して、「SafeMode」を選択し、システムをセーフモードで起動します。
  2. ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    cftrb32.exe
    rssp32.dat
  3. 以下のフォルダから異常な実行ファイルを削除します。
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    C:\Windows\All Users\Start Menu\Programs\Startup\
  4. レジストリを編集します。"SFtrb Service" の値を以下の場所から削除します。
    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
  5. システムを再起動します。
  6. Windows ME/XPでの駆除についての補足