McAfee for Small Businesses

2003年6月25日更新情報

・W32/Sobig.d@MMは、急激な繁殖を見せたため、危険度を“中”にしました。

ウイルス駆除ツールStingerが発行されました。

W32/Sobig.e@MMは定義ファイル4273（2003年6月26日発行）以降を使用するとW32/Sobig.e@MMとして検出されます。ウイルス定義ファイル4266とエンジン4.2.40では、W32/Sobigとして検出されます。

・W32/Sobig.e@MMはW32/Sobig.d@MMに非常によく似ており、電子メールとネットワーク共有を介して繁殖します。自身のSMTPエンジンで送信メッセージを作成します。W32/Sobig.e@MMはZIP形式で送られ、エクステンションブロッキングルールを回避します。しかし、実際にこのウイルスが実行されるには、もう一段階手順が必要となります。

電子メールを介した繁殖

・W32/Sobig.e@MMは、ターゲットマシンから抽出した宛先に、自身のSMTPで作成した電子メールメッセージで自身を送信します。

・このワームが作成した送信メッセージでは、32/Sobig@MMと同様に、添付ファイル名の最後の1文字が欠けています（添付ファイルの拡張子が“.ZIP”ではなく、“.ZI”です）。

・電子メールは感染マシンの以下の拡張子のついたファイルから抽出されます。

• WAB
• DBX
• HTM
• HTML
• EML
• TXT

・W32/Sobig.e@MMは以下のような特徴を持つ電子メールで送信されます。

本文Please see the attached zip file for details.
添付ファイル：your_details.zip (which contains details.pif)

*注：W32/Sobig.e@MMは送信者アドレスを偽造するので、表示された送信者がウイルスの送信者ではないと考えられます。

ネットワーク共有を介した繁殖

・ネットワーク共有を検索し、パスがアクセス可能な場合（および書き込みアクセスが許可されている場合）は、以下のロケーションに自身をコピーします。

• \Documents and Settings\All Users\Start Menu\Programs\Startup\
• \Windows\All Users\Start Menu\Programs\Startup\

インストール

・W32/Sobig.d@MMが実行されると、%WinDir%ディレクトリに以下のファイルを落とし込みます。

• winssk32.exe（約85kB、ワームのコピー）
• msrrf.dat（設定ファイル）

・以下のレジストリキーを追加して、システムの起動をフックします。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Run "SSK Service" = %WinDir%\winssk32.exe
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
  Run "SSK Service" = %WinDir%\winssk32.exe
  （ %WinDir%は、デフォルトのWindowsディレクトリです。例：C:\WINNT、C:\WINDOWS）