McAfee for Small Businesses

送信されるメールの形式は以下の通りです。

件名：

添付ファイル

本文:

差出人のアドレスは、感染マシンから抜き取られたアドレスにすりかえられていることがあります。したがって、ウイルスメールの見かけ上の送信者は、実際の送信者とは異なっていることがほとんどです。

添付ファイルが手動で実行されなければ、ローカルシステムは感染しません。また、このウイルスによって送られるメッセージには下記のフィールドが含まれています。

• X-MailScanner: Found to be clean
• X-Mailer: Microsoft Outlook Express 6.00.2600.0000

W32/Sobig.f@MMは、ESTMTPサーバを必要とする自信のSMTPエンジンを使って自分自身をメール送信して繁殖します。ネットワーク共有を介してネットワーク内で繁殖します。W32/Sobig.f@MMはターゲットマシン上でMXルックアップを行ないます。（例：user@domain.comに自身を送ろうとする時、domain.comのMXレコードに示されたサーバを使います。）

このワームはリモートNTPサーバのIPアドレスリストを持っています。そのリストに対し、NTPパケットを送り付けます（デスティネーションUDPポート 123).

• 200.68.60.246
• 62.119.40.98
• 150.254.183.15
• 132.181.12.13
• 193.79.237.14
• 131.188.3.222
• 131.188.3.220
• 193.5.216.14
• 193.67.79.202
• 133.100.11.8
• 193.204.114.232
• 138.96.64.10
• chronos.cru.fr
• 212.242.86.186
• 128.233.3.101
• 142.3.100.2
• 200.19.119.69
• 137.92.140.80
• 129.132.2.21

このワームは上記のうちいずれかのサーバからUTC時間を取得します。この時間はワームがリモートファイルをダウンロードするタイミングを決定するために使われます。

ダウンロード機能

このワームはリモートサーバからファイルを探し出す機能を持っています。このリモートサーバはウイルス作者が制御している特定のURLが指すものです。感染マシンから送られてくるデータに応じて発行されます。

NTPで決定したある特定の時間になると、このワームは、それが感染しているマシンから、多数の遠隔マシン（UDPポート8998）へとデータを送信します。

• 12.158.102.205
• 12.232.104.221
• 218.147.164.29
• 24.197.143.132
• 24.202.91.43
• 24.206.75.137
• 24.210.182.156
• 24.33.66.38
• 61.38.187.59
• 63.250.82.87
• 65.177.240.194
• 65.92.186.145
• 65.92.80.218
• 65.93.81.59
• 65.95.193.138
• 66.131.207.81
• 67.73.21.6
• 67.9.241.67
• 68.38.159.161
• 68.50.208.96

このイベントが発生する時間は、金曜日または日曜日の19:00-20:00（UTC時間）の間に発生します。これらのIPアドレスは、現在、閉鎖されるべく試みが続いています。

※： UTC（Coordinated Universal Time）とは協定世界時、すなわち世界共通の標準時のことです。UTCと日本標準時(JST)の換算表は、こちらのWebサイトをご覧ください。

これまでのSobigと同様に、今回のSobig.fも日付を基準にした自己停止ルーチンを持っています。日付が2003年9月10日以降になった場合、このワームは繁殖を停止します。