ウイルス情報

ウイルス名 危険度

W32/Sober.f@MM

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4347
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7633)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 Sober.F (F-Secure)
W32.Sober.F@mm (Symantec)
WORM_SOBER.F (Trend)
情報掲載日 04/04/05
発見日(米国日付) 04/04/04
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Sober.f@MMはW32/Sober.e@MMウイルスの亜種で、同じような行動を見せます。

W32/Sober.f@MMに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。 ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるNetskyウイルスに感染したことを示すものではありません。

W32/Sober.f@MMは電子メールメッセージとして受信され、以下のような特徴があります。

件名:(以下のいずれか)

  • Bad Gateway
  • Best
  • Confirmation Required
  • Connection failed
  • damn!
  • Datenbank-Fehler
  • Details
  • Einzelheiten
  • Faulty mail delivery
  • Fehler
  • Fehler in E-Mail
  • Fehlerhafte Mailzustellung
  • Hallo Du!
  • Hallo!
  • Hey
  • Hey Du
  • hey you
  • Hi!
  • Hi, Ich bin's
  • Hi, it's me
  • Ich bin es .-)
  • Ihr neues Passwort
  • Ihr Passwort
  • Illegal signs in Mail-Routing
  • Illegale Zeichen in Mail-Routing
  • Info
  • Information
  • Invalid mail sentence length
  • Mail delivery failed
  • Mail Delivery failure
  • mail delivery status
  • Mail Error
  • Mailzustellung fehlgeschlagen
  • Message Error
  • Na,
  • Oh my God
  • Registrierungs-Best
  • Ung
  • Verbindung fehlgeschlagen
  • Verdammt
  • Warning!
  • Warnung!
  • Well, surprise?!
  • Your document
  • Your mail account
  • Your mail-account
  • Your password

本文:(以下のいずれか)

  • Ich war auch ein wenig
    Wer konnte so etwas ahnen!? Lese selbst
    Oh-Mann
  • Alles klaro bei dir?
    Schau mal was Ich gefunden habe!
    Meinst Du das wirklich?
    Dokument
    KurzText
  • Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
    Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
    Bye
  • AntiVirus-Text
    Anleitung
    Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passw
    Passwoerter.txt
    Details entnehmen Sie bitte dem Attachment
    Dokumente
    Text-Inhalt
  • *** Auto Mail Delivery System ***
    Ihre E-Mail konnte nicht gesendet oder empfangen werden.
    Bitte
    attach:
    AMD-System.txt
    * End Transmission
    --- Web: http://www.(ドメイン名)
    --- Mail To: User-Hilfe
  • Passwort und Benutzername wurde erfolgreich ge
    Ihre Benutzernamen und Passw
    ++++ Im www erreichbar unter: http://www.(ドメイン名)
    ++++ E-Mail: KundenInfo
  • Benutzer-Daten
    Wegen eines Datenbank- Fehlers k
    Wenn Sie Unregelm
    Vielen Dank f
    +++ Ein Service von
    +++ http://www .(ドメイン名)
    +++ E-Mail: Kundenservice
  • Internet Provider Abuse:
    Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
    Bitte beachten Sie folgende Liste:
    Liste
    Schwarze-Liste
  • ***
    Mail- Anhang: Keine verd
    Mail Scanner: Kein Virus gefunden
    Anti- Virus: Es wurde kein Virus erkannt
    Virenschutz
    *** http://www.(ドメイン名)
  • I was surprised, too! :-(
    Who could suspect something like that?
    shock
  • All OK :)
    see, what i've found!
  • hi its me
    i've found a shity virus on my pc. check your pc, too!
    follow the steps in this article.
    bye
  • I 've told you!:-) sometime I grab your passwords!
    your_passwords
    I hope you accept the result!
  • Follow the instructions to read the message.
    Please read the document
  • Your password was changed successfully.
    Protected message is attached.
    ++++ Service: http://www.(ドメイン名)
    ++++ Mail To: User-info
  • 67.28.114.32_failed_after_I_sent_the_message./
    Remote_host_said:_554_delivery_error:_dd_
    Sorry_your_message_cannot_be_delivered._
    This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
    ** End of Transmission
  • The original message is a separate attachment.
    --- Mail To: UserHelp
    Error_Info
    _attach
    Read the attachment for details.
    Bad Gateway: The message has been attached.
    +++ A service of
    +++ Mail: home
  • Database #Error
    -- Partial message is available!
    -- Error: llegal signs in Mail-Routing
    -- Mail Server: ESMTP VX32.9 Version Betha Alpha
  • Mail- Attachment: No suspicious Virus signatures
    Mail Scanner: No Virus found
    Anti-Virus: No Virus!

・添付ファイルは.PIF(30,720バイト)ファイルまたは.ZIP(30,866バイト)ファイルのいずれかで、以下の名前を含みます。

  • Administrator
  • AMD-System.txt
  • anitv_text
  • AntiVirus-Text
  • attach-message
  • AutoMailer
  • Benutzer-Daten
  • block-lists
  • check_this
  • corrected_text-file
  • database_partial
  • database
  • Datenbank_Auszug
  • dokument
  • Error_Info
  • error
  • error-message
  • Fehler-Info
  • help
  • instructions
  • kurztext
  • message
  • Money-Help
  • partial
  • pass-message
  • pmessage-text
  • RobotMailer
  • Schwarze-Liste
  • textdocument
  • Text-Inhalt
  • User-info
  • webmaster
  • your_article
  • your_passwords

・電子メールの受信アドレスはローカルシステムから収集されます。W32/Sober.f@MMは、以下の拡張子を持つファイルでアドレスを検索します。

  • abc
  • abd
  • abx
  • adb
  • ade
  • adp
  • adr
  • asp
  • bas
  • cfg
  • cgi
  • cls
  • ctl
  • dbx
  • dhtm
  • doc
  • dsp
  • dsw
  • eml
  • fdb
  • frm
  • hlp
  • ini
  • jsp
  • ldb
  • ldif
  • log
  • mbx
  • mda
  • mdb
  • mde
  • mdw
  • mdx
  • mht
  • mmf
  • msg
  • nab
  • nch
  • nfo
  • nsf
  • ods
  • oft
  • php
  • pl
  • pp
  • ppt
  • pst
  • rtf
  • shtml
  • sln
  • tbb
  • txt
  • uin
  • vap
  • vbs
  • wab
  • wsh
  • xls
  • xml

・以下の文字列を含むメールアドレスに対しては、ウイルス自身を送信しません。

  • mailer-daemon
  • office
  • redaktion
  • support
  • variabel
  • password
  • time
  • postmas
  • service
  • freeav/
  • @ca.
  • abuse
  • winrar
  • domain.
  • host.
  • viren
  • ewido.
  • emsisoft
  • linux
  • google
  • @foo.
  • winzip
  • @arin
  • mozilla
  • @iana
  • @avp
  • @msn
  • microsoft.
  • @sophos
  • @panda
  • symant
  • ntp-
  • ntp@
  • @ntp.
  • @kaspers
  • free-av
  • antivir
  • virus
  • verizon.
  • @ikarus.
  • @nai.
  • @messagelab
  • clock
  • yahoo.com
  • yahoo.de
  • gmx.de
  • gmx.net
  • web.de
  • freenet.de
  • lycos.de

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Sober.f@MMが実行されると、%system32% フォルダに複数のファイルをドロップ(作成)します。
ファイル名

ファイルサイズ

  コメント
WINHEX32XX.WRM

58,156 バイト

 ワームのMIMEエンコード形式のコピー
WINSYS32XX.ZZP

58,374 バイト

  ワームを含むMIMEエンコード形式のZIP
SYST32WIN.DLL

不定

  電子メールアドレスから抽出
SPOOFED_RECIPS.OCX

不定

 
BCEGFDS.LLL

0 バイト

ZHCARXXI.WX

0 バイト

ZMNDPGWF.KXX

0 バイト

・W32/Sober.f@MMは、以下の文字列から作成したファイル名を使用して、%system32%フォルダに自身をコピーします。

  • 32
  • crypt
  • data
  • diag
  • dir
  • disc
  • explorer
  • host
  • log
  • run
  • service
  • smss32
  • spool
  • sys
  • win

・例:WINSYSSERVICE.EXE または DISKDIRRUN.EXE

・システムの起動時に自身を実行するように以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\[generated string] = C:\WINNT\System32\[generated string].exe

TOPへ戻る

感染方法

・W32/Sober.f@MMは、ローカルシステムにある電子メールアドレスに自身を送信することで繁殖します。W32/Sober.f@MMは、電子メールの添付ファイルを自動的に実行する目的で脆弱性を利用することはありません。ユーザがウイルス添付ファイルを選択し、起動するとウイルスに感染します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

ウイルスの性質上、1度ウイルスが起動するとマシンは感染し、ウイルスファイルへのリード・アクセスに失敗する可能性があります。このような場合はAVスキャナによるファイルの検知は不可能です。そこで、マシンがウイルスに感染している疑いのある場合は以下の手順にしたがって確認することをお勧めします。

  • 1.システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  • 2.指定のウイルス定義ファイルを使用してシステムスキャンを実行
  • 3.ウイルス感染を示すフラグのあるファイルを削除
  • 4・デフォルトモードで再起動

■手動で駆除する場合の手順

  1. ・システムをセーフモードで再起動します。
    (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
  2. ワームに使用されるファイル名は上記にあるような文字列で構成されます。
    例:
    • rundiscexplorer.exe
    • rundircrypt.exe
    • sys32dirdisc.exe
    • etc etc
  3. ランダムに名前の付けられたファイルをウィンドウズディレクトリ(通常はc:\windowsまたはc:\winnt)から削除します。
  4. 同様に以下のファイルを同じディレクトリから削除します。
    • spoofed_recips.ocx
    • syst32win.dll
    • winhex32xx.wrm
    • winsys32xx.zzp
  5. レジストリを編集します。
    似たような文字列が、システムスタートアップをフックさせるためにレジストリ編集内に作成されます。
    以下のキーを削除します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\(作成された文字列)

    以下の値を削除します。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce "作成された文字列"
6.デフォルトモードで再起動します。

■Stinger
駆除ツールStingerがW32/Sober.f@MMに対応しています。ダウンロードはこちら

TOPへ戻る