ウイルス情報

ウイルス名 危険度

W32/Sober.e@MM

企業ユーザ: 低
個人ユーザ: 低
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4345
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Sober.e: Sober.e: W32.Sober.E@mm
情報掲載日 04/03/29
発見日(米国日付) 04/03/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Sober.e@MMは自身のSMTPエンジンを使用してローカルシステムにある電子メールアドレスに自身を送信して繁殖するワームです。

・電子メールの件名は、以下のリストからランダムに選択されます。

  • Hi
  • HEY
  • Hey!
  • hey?
  • hi
  • Hi :-)
  • OK :-)
  • OK OK
  • OK ok OK

・本文には以下のリストにある文字を含みます。

  • ;-)
  • HA
  • ha!
  • lol
  • LoL
  • LOL
  • THX
  • Thx!
  • thx
  • yo!

・添付ファイルは.PIF(30,720バイト)ファイルまたは.ZIP(30,866バイト)ファイルのいずれかで、以下の1つが起動します。

  • Document
  • Graphic-doc
  • Read
  • Text
  • Word

・電子メールの受信アドレスはローカルシステムから抽出されます。W32/Sober.e@MMは、以下の拡張子を持つファイルでアドレスを検索します。

  • .abd
  • .abx
  • .adb
  • .asp
  • .dbx
  • .doc
  • .eml
  • .ini
  • .log
  • .mdb
  • .php
  • .pl
  • .rtf
  • .shtml
  • .tbb
  • .ttt
  • .txt
  • .wab
  • .xls

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Sober.e@MMが実行されると、%system32% フォルダに複数のファイルをドロップ(作成)します。
ファイル名

ファイルサイズ

  コメント
BCEGFDS.DLL

0 バイト

 
MSHELP32.DAT

42040 バイト

  ワームのMIMEエンコード形式のコピー
MSWORD.WRD

42240 バイト

  ワームを含むMIMEエンコード形式のZIP
WINRUN32.DLL

不定

  電子メールアドレスから抽出
ZMNDPQWF.KXX

0 バイト

 

・W32/Sober.e@MMは、以下の文字列から作成したファイル名を使用して、%system32%フォルダに自身をコピーします。

  • 32
  • crypt
  • data
  • diag
  • dir
  • disc
  • explorer
  • host
  • log
  • run
  • service
  • smss32
  • spool
  • sys
  • win

・例:WINSYSSERVICE.EXE または DISKDIRRUN.EXE

・システムの起動時に自身を実行するように以下の2つのレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\[generated string] = C:\WINNT\System32\[generated string].exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce\[generated string] = C:\WINNT\System32\[generated string].exe %1

TOPへ戻る

感染方法

・W32/Sober.e@MMは、ローカルシステムにある電子メールアドレスに自身を送信することで繁殖します。W32/Sober.e@MMは、電子メールの添付ファイルを自動的に実行する目的で脆弱性を利用することはありません。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る