製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sobig@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4242
対応定義ファイル
(現在必要とされるバージョン)
4242 (現在7562)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/01/09
発見日(米国日付)03/01/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/14RDN/Obfuscat...
09/14RDN/GenericA...
09/14RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7562
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・1月22日更新情報

「絵とき理解」にSobigウイルスの図解説明を載せました。詳細はこちら

・1月15日更新情報

感染が減少してきているため、危険度を「低:要注意」に下げました。


・1月14日更新情報

ウイルスの添付ファイル名に、”.PIF”の代わりに”.PI"の拡張子がついた状態で発見されることがあります(ダブルクリックで起動することはありません。)。この拡張子は4243DATのデフォルトリストに追加されています。


・1月11日更新情報

感染が増加してきているため、危険度を「中」に上げました。


・W32/Sobig@MMはMSVCで作成されており、共有ネットワークと電子メールを介した繁殖を試みます。このウイルスは、SMTPエンジンを内蔵しています。

電子メール繁殖

・以下のようなメッセージで届きます。

差出人:big@boss.com

件名:以下のいずれか

  • Re: Movies
  • Re: Sample
  • Re: Document
  • Re: Here is that sample

添付ファイル:以下のファイル名のいずれか(ファイルサイズは65,536バイト)

  • Movie_0074.mpeg.pif
  • Document003.pif
  • Untitled1.pif
  • Sample.pif

・送信先の電子メールアドレスは、ターゲットマシンにある以下の拡張子を持つファイルより取得することがあります。

  • WAB
  • DBX
  • HTM
  • HTML
  • EML
  • TXT
ネットワーク繁殖

・ネットワーク上の共有を列挙して、リモートマシン上の下記のフォルダのいずれかに自身をコピーしようと試みます。

  • \WINDOWS\ALL USERS\START MENU\PROGRAMS\STARTUP
  • \DOCUMENTS AND SETTINGS\ALL USERS\START MENU\PROGRAMS\STARTUP

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・WindowsディレクトリにWINMGM32.EXEファイル(65,536バイト)が存在します。

・WindowsディレクトリにSNTMLS.DATファイルが存在します。

・WindowsディレクトリにDWN.DATファイルが存在します。

感染方法TOPへ戻る
・ AVERTが受け取ったサンプルの少なくとも1つは、マルチドロッパパッケージが落とし込んだものでした。このマルチドロッパパッケージは、ポルノ画像(表示される)とウイルスの2つのファイルを落とし込み、定義ファイル4142でMultiDropper-FBとして検出されます。

・ウイルスが実行されると、 WindowsディレクトリにWINMGM32.EXEとして自身をインストールします。システム起動をフックさせるために、例えば以下のようなレジストリキーを2つ追加します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"WindowsMGM" = C:\WINDOWS\winmgm32.exe
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"WindowsMGM" = C:\WINDOWS\winmgm32.exe

・このウイルスは、リモートのWebサーバよりテキストファイルを取得する。この情報掲載時点では、このファイルの中身は“http://www.doesnotexist.com/blah.txt”というURLだけでした。

・テキストファイルの取得に成功すると、上記のURLを %WinDir%\DWN.DATファイルに書き込みます。

・このウイルスは、文字列“Worm.X”を含んでいます。