W32/Sober.c@MMウイルスはVisualBasicで書かれた大量メール送信型ウイルスです。以前発見されたW32/Sober.c@MMウイルスと同様、以下のような特徴を持ちます。
●SMTPエンジンを内蔵している。
●ターゲットとなるメールアドレスは感染マシンから抽出。
●送信メッセージは、マイクロソフトからW32/Mydoom@MMウイルス用のパッチが含まれていると表示される
●メールを介して繁殖
■電子メールを介した繁殖
・W32/Sober.d@MMは、感染マシンから、電子メールアドレスを採取して、%SysDir%ディレクトリのMSLogs32.DLLファイルにそれを書き込みます。
ウイルスメールは、ワームが内蔵するSMTPエンジンにより作成されます。メールは英語またはドイツ語で書かれています。添付ファイル名はさまざまです。受信者のメールアドレスは、メッセージに使う言語を決定する際に利用されます。以下のいずれかを含む場合はドイツ語が選択されます。
メールアドレスは、以下の拡張子を持つファイルから抽出されます。
- log
-
mdb
-
tbb
-
abd
-
adb
-
pl
-
rtf
-
doc
-
xls
-
txt
-
wab
-
eml
-
php
-
asp
-
shtml
-
dbx
-
ttt
-
wab
-
tbb
送信メッセージは、マイクロソフトからW32/Mydoom@MMウイルス用のパッチが含まれていると出ます。
■差出人(送信者名)@microsoft.(国名) 「送信者名」は以下のリストから選ばれます。
- Info
-
Center
-
UpDate
-
News
-
Help
-
Studio
-
Alert
-
Security
「国名」は以下のリストから選択されます。
- de(ドイツ語のメッセージ用)
-
ch(ドイツ語のメッセージ用)
-
at(ドイツ語のメッセージ用)
-
com(英語のメッセージ用)
■件名:件名は様々で、ランダムに選択された文字を含みます。ドイツ語バージョン、英語バージョン用にそれぞれメッセージがあり、以下の文章で始まります。
- Microsoft Alarm: Bitte Lessen!
-
Microsoft Alert: Please Read!
■本文:
(ドイツ語バージョン)
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorg
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner! Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch
+++
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
(英語バージョン)
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com
■添付ファイル様々なファイル名の.EXEファイル、.ZIPファイルのいずれかです。EXEファイルのファイル名は、名前とランダムな数字コンポーネント(オプション)で構成されます。名前は以下のリストから選択されます。
- sys-patch
-
MS-UD
-
MS-Security
-
Patch
-
Update
-
MS-Q
ランダムな数字は5桁か10桁の長さです。例:
- MS-UD89021.EXE
-
MS-Q4532364791.EXE
・ZIPファイル内の、初期のウイルス解析によると、このウイルスはZIPファイル内で以下のファイル名を使用します。
・ウイルスは以下の文字列を含むメールアドレスには送信しません。
- @arin
-
@avp
-
@foo.
-
@iana
-
@ikarus.
-
@kaspers
-
@messagelab
-
@msn.
-
@nai.
-
@ntp.
-
@panda
-
@sophos
-
abuse
-
admin
-
antivir
-
bitdefender
-
clock
-
detection
-
domain.
-
emsisoft
-
ewido.
-
free-av
-
google
-
host.
-
hotmail
-
info@
-
linux
-
microsoft.
-
mozilla
-
ntp-
-
ntp@
-
office
-
password
-
postmas
-
redaktion
-
service
-
spybot
-
support
-
symant
-
t-online
-
time
-
variabel
-
verizon.
-
viren
-
virus
-
winrar
-
winzip
