製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sobig.f@MM
企業ユーザ:
個人ユーザ:
最小定義ファイル
(最初に検出を確認したバージョン)
4287
対応定義ファイル
(現在必要とされるバージョン)
4296 (現在7600)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Sobig.F@mm (NAV):WORM_SOBIG.F (Trend)
情報掲載日03/08/19
発見日(米国日付)03/08/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年8月20日更新情報

参考情報:
sobig.fウイルスを「特に手間暇かけることもなく気がついたら全自動で防げていた」というお客様の事例です。


このウイルスはW32/Sobigの新しい亜種です。ファイルサイズは約72,568バイトです。これまでのSobigと同じく、MSVCで書かれており、また以下の性質を持っております。
  • 電子メールを通じて繁殖する。独自のSMTPエンジンにより送信メッセージを送り出す。

  • ネットワーク共有を介して繁殖する(注:試験環境では再現されていません)

    注:このワームにはファイル末尾にゴミデータが付随しています。このため正確なファイルサイズとチェックサムが変動することになります。


インストール

このワームは、感染マシンに以下のような形で自分自身をコピーします。

C:\WINNT\WINPPR32.EXE

環境設定ファイルも以下のような形で%Windir%に落とし込まれます。

C:\WINNT\WINSTT32.DAT

以下のレジストリキーが追加され、これによりシステム起動がフックされます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

メールを介した繁殖

このワームは自分自身をメールで送信します。送信先アドレスは感染マシンから採取します。送信メールは独自のSMTPエンジンを用いて作成します。送信先アドレスは以下の拡張子を持つファイルから採取します。

  • DBX
  • HLP
  • MHT
  • WAB
  • EML
  • TXT
  • HTM
  • HTML

    送信されるメールの形式は以下の通りです。

    件名:

  • Re: Thank you!
  • Re: Details
  • Re: Re: My details
  • Re: Approved
  • Re: Your application
  • Re: Wicked screensaver
  • Re: That movie

    添付ファイル

  • your_document.pif
  • document_all.pif
  • thank_you.pif
  • your_details.pif
  • details.pif
  • document_9446.pif
  • application.pif
  • wicked_scr.scr
  • movie0045.pif

    本文:

  • See the attached file for details
  • Please see the attached file for details

    差出人のアドレスは、感染マシンから抜き取られたアドレスにすりかえられていることがあります。したがって、ウイルスメールの見かけ上の送信者は、実際の送信者とは異なっていることがほとんどです。

    添付ファイルが手動で実行されなければ、ローカルシステムは感染しません。また、このウイルスによって送られるメッセージには下記のフィールドが含まれています。

    • X-MailScanner: Found to be clean
    • X-Mailer: Microsoft Outlook Express 6.00.2600.0000

    W32/Sobig.f@MMは、ESTMTPサーバを必要とする自信のSMTPエンジンを使って自分自身をメール送信して繁殖します。ネットワーク共有を介してネットワーク内で繁殖します。W32/Sobig.f@MMはターゲットマシン上でMXルックアップを行ないます。(例:user@domain.comに自身を送ろうとする時、domain.comのMXレコードに示されたサーバを使います。)


    リモートNTPサーバへのコンタクト

    このワームはリモートNTPサーバのIPアドレスリストを持っています。そのリストに対し、NTPパケットを送り付けます(デスティネーションUDPポート 123).

    • 200.68.60.246
    • 62.119.40.98
    • 150.254.183.15
    • 132.181.12.13
    • 193.79.237.14
    • 131.188.3.222
    • 131.188.3.220
    • 193.5.216.14
    • 193.67.79.202
    • 133.100.11.8
    • 193.204.114.232
    • 138.96.64.10
    • chronos.cru.fr
    • 212.242.86.186
    • 128.233.3.101
    • 142.3.100.2
    • 200.19.119.69
    • 137.92.140.80
    • 129.132.2.21

    このワームは上記のうちいずれかのサーバからUTC時間を取得します。この時間はワームがリモートファイルをダウンロードするタイミングを決定するために使われます。

    ダウンロード機能

    このワームはリモートサーバからファイルを探し出す機能を持っています。このリモートサーバはウイルス作者が制御している特定のURLが指すものです。感染マシンから送られてくるデータに応じて発行されます。

    NTPで決定したある特定の時間になると、このワームは、それが感染しているマシンから、多数の遠隔マシン(UDPポート8998)へとデータを送信します。

    • 12.158.102.205
    • 12.232.104.221
    • 218.147.164.29
    • 24.197.143.132
    • 24.202.91.43
    • 24.206.75.137
    • 24.210.182.156
    • 24.33.66.38
    • 61.38.187.59
    • 63.250.82.87
    • 65.177.240.194
    • 65.92.186.145
    • 65.92.80.218
    • 65.93.81.59
    • 65.95.193.138
    • 66.131.207.81
    • 67.73.21.6
    • 67.9.241.67
    • 68.38.159.161
    • 68.50.208.96

    このイベントが発生する時間は、金曜日または日曜日の19:00-20:00(UTC時間)の間に発生します。これらのIPアドレスは、現在、閉鎖されるべく試みが続いています。

    ※: UTC(Coordinated Universal Time)とは協定世界時、すなわち世界共通の標準時のことです。UTCと日本標準時(JST)の換算表は、こちらのWebサイトをご覧ください。


    自己停止

    これまでのSobigと同様に、今回のSobig.fも日付を基準にした自己停止ルーチンを持っています。日付が2003年9月10日以降になった場合、このワームは繁殖を停止します。

  • 以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • WINPPR32.EXE ファイルが%WinDir%に存在する。
  • 上記の通りのレジストリフックが存在する。
  • リモートサーバに向けて予期せぬNTPトラフィックが発生している
  • 感染方法TOPへ戻る
    このワームは電子メールを介して繁殖します(SMTPエンジンは独自のものを使います)。またネットワーク共有を介しても繁殖します。

    駆除方法TOPへ戻る
    所定のエンジンと定義ファイルをご使用ください。

    駆除ツールStingerを発行いたしました。


    手動で除去する場合
    1. Win9x/ME:「セーフモード」(ウィンドウズテキスト表示中にF8キーを押し、Safe Modeを選択)でシステムを再起動します。
      WinNT/2K/XP:WINPPR32.EXEプロセスを終了します
    2. ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
      WINPPR32.EXE
      WINSTT32.DAT
    3. レジストリを編集します。

      ・以下の場所から'TrayX'の値を削除。
      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
        Windows\CurrentVersion\Run
      • HKEY_CURRENT_USERS\SOFTWARE\Microsoft\
        Windows\CurrentVersion\Run

    Windows ME/XPでの駆除についての補足