製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sober.e@MM
企業ユーザ:
個人ユーザ:
種別インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4345
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7607)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Sober.e: Sober.e: W32.Sober.E@mm
情報掲載日04/03/29
発見日(米国日付)04/03/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Sober.e@MMは自身のSMTPエンジンを使用してローカルシステムにある電子メールアドレスに自身を送信して繁殖するワームです。

・電子メールの件名は、以下のリストからランダムに選択されます。

  • Hi
  • HEY
  • Hey!
  • hey?
  • hi
  • Hi :-)
  • OK :-)
  • OK OK
  • OK ok OK

・本文には以下のリストにある文字を含みます。

  • ;-)
  • HA
  • ha!
  • lol
  • LoL
  • LOL
  • THX
  • Thx!
  • thx
  • yo!

・添付ファイルは.PIF(30,720バイト)ファイルまたは.ZIP(30,866バイト)ファイルのいずれかで、以下の1つが起動します。

  • Document
  • Graphic-doc
  • Read
  • Text
  • Word

・電子メールの受信アドレスはローカルシステムから抽出されます。W32/Sober.e@MMは、以下の拡張子を持つファイルでアドレスを検索します。

  • .abd
  • .abx
  • .adb
  • .asp
  • .dbx
  • .doc
  • .eml
  • .ini
  • .log
  • .mdb
  • .php
  • .pl
  • .rtf
  • .shtml
  • .tbb
  • .ttt
  • .txt
  • .wab
  • .xls

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Sober.e@MMが実行されると、%system32% フォルダに複数のファイルをドロップ(作成)します。
ファイル名

ファイルサイズ

  コメント
BCEGFDS.DLL

0 バイト

 
MSHELP32.DAT

42040 バイト

  ワームのMIMEエンコード形式のコピー
MSWORD.WRD

42240 バイト

  ワームを含むMIMEエンコード形式のZIP
WINRUN32.DLL

不定

  電子メールアドレスから抽出
ZMNDPQWF.KXX

0 バイト

 

・W32/Sober.e@MMは、以下の文字列から作成したファイル名を使用して、%system32%フォルダに自身をコピーします。

  • 32
  • crypt
  • data
  • diag
  • dir
  • disc
  • explorer
  • host
  • log
  • run
  • service
  • smss32
  • spool
  • sys
  • win

・例:WINSYSSERVICE.EXE または DISKDIRRUN.EXE

・システムの起動時に自身を実行するように以下の2つのレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\[generated string] = C:\WINNT\System32\[generated string].exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce\[generated string] = C:\WINNT\System32\[generated string].exe %1

感染方法TOPへ戻る

・W32/Sober.e@MMは、ローカルシステムにある電子メールアドレスに自身を送信することで繁殖します。W32/Sober.e@MMは、電子メールの添付ファイルを自動的に実行する目的で脆弱性を利用することはありません。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足