製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sobig.e@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4723
対応定義ファイル
(現在必要とされるバージョン)
4287 (現在7508)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名Sobig.E (F-Secure)
情報掲載日03/06/26
発見日(米国日付)03/06/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003年6月25日更新情報

・W32/Sobig.d@MMは、急激な繁殖を見せたため、危険度を“中”にしました。

ウイルス駆除ツールStingerが発行されました。

W32/Sobig.e@MMは定義ファイル4273(2003年6月26日発行)以降を使用するとW32/Sobig.e@MMとして検出されます。ウイルス定義ファイル4266とエンジン4.2.40では、W32/Sobigとして検出されます。

・W32/Sobig.e@MMはW32/Sobig.d@MMに非常によく似ており、電子メールとネットワーク共有を介して繁殖します。自身のSMTPエンジンで送信メッセージを作成します。W32/Sobig.e@MMはZIP形式で送られ、エクステンションブロッキングルールを回避します。しかし、実際にこのウイルスが実行されるには、もう一段階手順が必要となります。

電子メールを介した繁殖

・W32/Sobig.e@MMは、ターゲットマシンから抽出した宛先に、自身のSMTPで作成した電子メールメッセージで自身を送信します。

・このワームが作成した送信メッセージでは、32/Sobig@MMと同様に、添付ファイル名の最後の1文字が欠けています(添付ファイルの拡張子が“.ZIP”ではなく、“.ZI”です)。

・電子メールは感染マシンの以下の拡張子のついたファイルから抽出されます。

  • WAB
  • DBX
  • HTM
  • HTML
  • EML
  • TXT

・W32/Sobig.e@MMは以下のような特徴を持つ電子メールで送信されます。

本文Please see the attached zip file for details.
添付ファイル:your_details.zip (which contains details.pif)

*注:W32/Sobig.e@MMは送信者アドレスを偽造するので、表示された送信者がウイルスの送信者ではないと考えられます。

ネットワーク共有を介した繁殖

・ネットワーク共有を検索し、パスがアクセス可能な場合(および書き込みアクセスが許可されている場合)は、以下のロケーションに自身をコピーします。

  • \Documents and Settings\All Users\Start Menu\Programs\Startup\
  • \Windows\All Users\Start Menu\Programs\Startup\

インストール

・W32/Sobig.d@MMが実行されると、%WinDir%ディレクトリに以下のファイルを落とし込みます。

  • winssk32.exe(約85kB、ワームのコピー)
  • msrrf.dat(設定ファイル)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "SSK Service" = %WinDir%\winssk32.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "SSK Service" = %WinDir%\winssk32.exe
    ( %WinDir%は、デフォルトのWindowsディレクトリです。例:C:\WINNT、C:\WINDOWS)

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ %Windows%ディレクトリにwinssk32.exeファイルが存在します。

感染方法TOPへ戻る

・電子メールとネットワーク共有を介して繁殖します。

駆除方法TOPへ戻る

・このウイルスの検出は4266ウイルス定義ファイルでW32/Sobigとして検出されます。 しかし圧縮された自己ファイルの検出には4.2.40エンジンが必要です。4273ウイルス定義ファイルにはW32/Sobig.e@MMの検出と駆除機能が含まれています。

・システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、4.1.60エンジンと4273ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

・W32/Sobig.e@MMを駆除するウイルス駆除ツールStingerが発行されました。

・手動で駆除する場合の手順

  1. Win9x/MEの場合:「Windows」のテキストが表示されている間にF8キーを押して、「SafeMode」を選択し、システムをセーフモードで起動します。
    WinNT/2K/XPの場合:実行中のwinssk32.exeを終了させます。
  2. ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    cftrb32.exe
    msrrf.dat
  3. 以下のフォルダから異常な実行ファイルを削除します。
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    C:\Windows\All Users\Start Menu\Programs\Startup\
  4. レジストリを編集します。"SSK Service" の値を以下の場所から削除します。
    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
  5. システムを再起動します。
  6. Windows ME/XPでの駆除についての補足