製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sober.d@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4334
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7509)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Roca-A (Sophos)
Win32/Roca.A@mm (GeCAD)
情報掲載日04/03/08
発見日(米国日付)04/03/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
W32/Sober.c@MMウイルスはVisualBasicで書かれた大量メール送信型ウイルスです。以前発見されたW32/Sober.c@MMウイルスと同様、以下のような特徴を持ちます。

●SMTPエンジンを内蔵している。
●ターゲットとなるメールアドレスは感染マシンから抽出。
●送信メッセージは、マイクロソフトからW32/Mydoom@MMウイルス用のパッチが含まれていると表示される
●メールを介して繁殖

■電子メールを介した繁殖
・W32/Sober.d@MMは、感染マシンから、電子メールアドレスを採取して、%SysDir%ディレクトリのMSLogs32.DLLファイルにそれを書き込みます。

ウイルスメールは、ワームが内蔵するSMTPエンジンにより作成されます。メールは英語またはドイツ語で書かれています。添付ファイル名はさまざまです。受信者のメールアドレスは、メッセージに使う言語を決定する際に利用されます。以下のいずれかを含む場合はドイツ語が選択されます。

  • .de
  • .ch
  • .at
  • .li
  • @gmx

メールアドレスは、以下の拡張子を持つファイルから抽出されます。

  • log
  • mdb
  • tbb
  • abd
  • adb
  • pl
  • rtf
  • doc
  • xls
  • txt
  • wab
  • eml
  • php
  • asp
  • shtml
  • dbx
  • ttt
  • wab
  • tbb

送信メッセージは、マイクロソフトからW32/Mydoom@MMウイルス用のパッチが含まれていると出ます。

■差出人(送信者名)@microsoft.(国名) 「送信者名」は以下のリストから選ばれます。

  • Info
  • Center
  • UpDate
  • News
  • Help
  • Studio
  • Alert
  • Security
「国名」は以下のリストから選択されます。
  • de(ドイツ語のメッセージ用)
  • ch(ドイツ語のメッセージ用)
  • at(ドイツ語のメッセージ用)
  • com(英語のメッセージ用)

■件名:件名は様々で、ランダムに選択された文字を含みます。ドイツ語バージョン、英語バージョン用にそれぞれメッセージがあり、以下の文章で始まります。

  • Microsoft Alarm: Bitte Lessen!
  • Microsoft Alert: Please Read!

■本文:

 (ドイツ語バージョン)
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
Wie seine Vorg
Zudem installiert er auf infizierten Systemen einen gefahrlichen Trojaner! Fuhrende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg.

Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch
+++
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943

(英語バージョン)
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains the MyDoom virus.
The worm also has a backdoor Trojan capability. By default, the Trojan component listens on port 13468.

Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19 com

■添付ファイル様々なファイル名の.EXEファイル、.ZIPファイルのいずれかです。EXEファイルのファイル名は、名前とランダムな数字コンポーネント(オプション)で構成されます。名前は以下のリストから選択されます。

  • sys-patch
  • MS-UD
  • MS-Security
  • Patch
  • Update
  • MS-Q
ランダムな数字は5桁か10桁の長さです。例:
  • MS-UD89021.EXE
  • MS-Q4532364791.EXE

・ZIPファイル内の、初期のウイルス解析によると、このウイルスはZIPファイル内で以下のファイル名を使用します。

  • MS-Q(10桁の数字).EXE

・ウイルスは以下の文字列を含むメールアドレスには送信しません。

  • @arin
  • @avp
  • @foo.
  • @iana
  • @ikarus.
  • @kaspers
  • @messagelab
  • @msn.
  • @nai.
  • @ntp.
  • @panda
  • @sophos
  • abuse
  • admin
  • antivir
  • bitdefender
  • clock
  • detection
  • domain.
  • emsisoft
  • ewido.
  • free-av
  • google
  • host.
  • hotmail
  • info@
  • linux
  • microsoft.
  • mozilla
  • ntp-
  • ntp@
  • office
  • password
  • postmas
  • redaktion
  • service
  • spybot
  • support
  • symant
  • t-online
  • time
  • variabel
  • verizon.
  • viren
  • virus
  • winrar
  • winzip

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
インストール

・実行されると、以下のような偽エラーメッセージが表示されます。

・ウイルスは様々なファイル名(ウイルス内に保持している文字列から構成)を利用して、自身を感染マシンの%SYSDIR%ディレクトリにインストールします。

例:%SYSDIR%\diagwinhost.exe

・また、スタートアップ時にウイルス自身を起動するために以下のレジストリキーを追加します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\disc32data "spool32" = %SYSDIR%\diagwinhost.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \RunOnce "diagdir" = %SYSDIR%\diagwinhost.exe %1

・使われるファイル名とレジストリキーはランダムに選択され、以下の文字列から作成されます。

  • sys
  • host
  • dir
  • explorer
  • win
  • run
  • log
  • 32
  • disc
  • crypt
  • data
  • diag
  • spool
  • service
  • smss32

・ウイルスは%SYSDIR%に以下のファイルをドロップします。

  • Humgly.lkur (テスト時には0バイト)
  • temp32x.data (46,244 バイトの暗号化されたデータ)
  • wintmpx33.dat (46,426 バイトの暗号化されたデータ)
  • yfjq.yqwm (テスト時には0バイト)
  • zmndpgwf.kxx (テスト時には0バイト)

感染方法TOPへ戻る

・メールを介して繁殖します。ユーザーが手動で添付ファイルを実行することで起動します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

ウイルスの性質上、1度ウイルスが起動するとマシンは感染し、システム内のファイルへのリード・アクセスに失敗する可能性があります。このような場合はAVスキャナによるファイルの検知は不可能です。そこで、マシンがウイルスに感染している疑いのある場合は以下の手順にしたがって確認することをお勧めします。

  • 1.システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  • 2.指定のウイルス定義ファイルを使用してシステムスキャンを実行
  • 3.ウイルス感染を示すフラグのあるファイルを削除
  • 4・デフォルトモードで再起動

■手動で駆除する場合の手順

  1. ・システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. ワームに使用されるファイル名は上記にあるような文字列で構成されます。
    例:
    • rundiscexplorer.exe
    • rundircrypt.exe
    • sys32dirdisc.exe
    • etc etc
  3. このファイルをウィンドウズディレクトリ(通常はc:\windowsまたはc:\winnt)から削除します。
  4. 同様に以下のファイルを同じディレクトリから削除します。
    • Humgly.lkur
    • temp32x.data
    • wintmpx33.dat
    • yfjq.yqwm
    • zmndpgwf.kxx
    • mslogs32.dll
    • etc etc
  5. レジストリを編集します。
    似たような文字列が、システムスタートアップをフックさせるためにレジストリ編集内に作成されます。
    以下のキーを削除します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\(作成された文字列)

    以下の値を削除します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce "作成された文字列"
4.デフォルトモードで再起動します。

■Stinger
駆除ツールStingerがW32/Sober.d@MMに対応しています。ダウンロードはこちら