|
|
ウイルス情報| 種別 | ウイルス | 最小定義ファイル
(最初に検出を確認したバージョン) | 4347 | 対応定義ファイル
(現在必要とされるバージョン) | 4361 (現在7109) | | 対応エンジン | 4.2.40以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | Sober.F (F-Secure)
W32.Sober.F@mm (Symantec)
WORM_SOBER.F (Trend) | | 情報掲載日 | 04/04/05 | | 発見日(米国日付) | 04/04/04 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Sober.f@MMはW32/Sober.e@MMウイルスの亜種で、同じような行動を見せます。
W32/Sober.f@MMに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。
ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるNetskyウイルスに感染したことを示すものではありません。
|
W32/Sober.f@MMは電子メールメッセージとして受信され、以下のような特徴があります。
件名:(以下のいずれか)
- Bad Gateway
-
Best
-
Confirmation Required
-
Connection failed
-
damn!
-
Datenbank-Fehler
-
Details
-
Einzelheiten
-
Faulty mail delivery
-
Fehler
-
Fehler in E-Mail
-
Fehlerhafte Mailzustellung
-
Hallo Du!
-
Hallo!
-
Hey
-
Hey Du
-
hey you
-
Hi!
-
Hi, Ich bin's
-
Hi, it's me
-
Ich bin es .-)
-
Ihr neues Passwort
-
Ihr Passwort
-
Illegal signs in Mail-Routing
-
Illegale Zeichen in Mail-Routing
-
Info
-
Information
-
Invalid mail sentence length
-
Mail delivery failed
-
Mail Delivery failure
-
mail delivery status
-
Mail Error
-
Mailzustellung fehlgeschlagen
-
Message Error
-
Na,
-
Oh my God
-
Registrierungs-Best
-
Ung
-
Verbindung fehlgeschlagen
-
Verdammt
-
Warning!
-
Warnung!
-
Well, surprise?!
-
Your document
-
Your mail account
-
Your mail-account
-
Your password
・本文:(以下のいずれか)
- Ich war auch ein wenig
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann
-
Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
Dokument
KurzText -
Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye
-
AntiVirus-Text
Anleitung
Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passw
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment
Dokumente
Text-Inhalt -
*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte
attach:
AMD-System.txt
* End Transmission
--- Web: http://www.(ドメイン名)
--- Mail To: User-Hilfe -
Passwort und Benutzername wurde erfolgreich ge
Ihre Benutzernamen und Passw
++++ Im www erreichbar unter: http://www.(ドメイン名)
++++ E-Mail: KundenInfo -
Benutzer-Daten
Wegen eines Datenbank- Fehlers k
Wenn Sie Unregelm
Vielen Dank f
+++ Ein Service von
+++ http://www .(ドメイン名)
+++ E-Mail: Kundenservice -
Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
Liste
Schwarze-Liste
- ***
Mail- Anhang: Keine verd
Mail Scanner: Kein Virus gefunden
Anti- Virus: Es wurde kein Virus erkannt
Virenschutz
*** http://www.(ドメイン名) -
I was surprised, too! :-(
Who could suspect something like that?
shock -
All OK :)
see, what i've found! -
hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye -
I 've told you!:-) sometime I grab your passwords!
your_passwords
I hope you accept the result! -
Follow the instructions to read the message.
Please read the document -
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.(ドメイン名)
++++ Mail To: User-info -
67.28.114.32_failed_after_I_sent_the_message./
Remote_host_said:_554_delivery_error:_dd_
Sorry_your_message_cannot_be_delivered._
This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission -
The original message is a separate attachment.
--- Mail To: UserHelp
Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home -
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha -
Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!
・添付ファイルは.PIF(30,720バイト)ファイルまたは.ZIP(30,866バイト)ファイルのいずれかで、以下の名前を含みます。
- Administrator
-
AMD-System.txt
-
anitv_text
-
AntiVirus-Text
-
attach-message
-
AutoMailer
-
Benutzer-Daten
-
block-lists
-
check_this
-
corrected_text-file
-
database_partial
-
database
-
Datenbank_Auszug
-
dokument
-
Error_Info
-
error
-
error-message
-
Fehler-Info
-
help
-
instructions
-
kurztext
-
message
-
Money-Help
-
partial
-
pass-message
-
pmessage-text
-
RobotMailer
-
Schwarze-Liste
-
textdocument
-
Text-Inhalt
-
User-info
-
webmaster
-
your_article
-
your_passwords
・電子メールの受信アドレスはローカルシステムから収集されます。W32/Sober.f@MMは、以下の拡張子を持つファイルでアドレスを検索します。
- abc
-
abd
-
abx
-
adb
-
ade
-
adp
-
adr
-
asp
-
bas
-
cfg
-
cgi
-
cls
-
ctl
-
dbx
-
dhtm
-
doc
-
dsp
-
dsw
-
eml
-
fdb
-
frm
-
hlp
-
ini
-
jsp
-
ldb
-
ldif
-
log
-
mbx
-
mda
-
mdb
-
mde
-
mdw
-
mdx
-
mht
-
mmf
-
msg
-
nab
-
nch
-
nfo
-
nsf
-
ods
-
oft
-
php
-
pl
-
pp
-
ppt
-
pst
-
rtf
-
shtml
-
sln
-
tbb
-
txt
-
uin
-
vap
-
vbs
-
wab
-
wsh
-
xls
-
xml
・以下の文字列を含むメールアドレスに対しては、ウイルス自身を送信しません。
-
mailer-daemon
-
office
-
redaktion
-
support
-
variabel
-
password
-
time
-
postmas
-
service
-
freeav/
-
@ca.
-
abuse
-
winrar
-
domain.
-
host.
-
viren
-
ewido.
-
emsisoft
-
linux
-
google
-
@foo.
-
winzip
-
@arin
-
mozilla
-
@iana
-
@avp
-
@msn
-
microsoft.
-
@sophos
-
@panda
-
symant
-
ntp-
-
ntp@
-
@ntp.
-
@kaspers
-
free-av
-
antivir
-
virus
-
verizon.
-
@ikarus.
-
@nai.
-
@messagelab
-
clock
-
yahoo.com
-
yahoo.de
-
gmx.de
-
gmx.net
-
web.de
-
freenet.de
-
lycos.de
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
・W32/Sober.f@MMが実行されると、%system32% フォルダに複数のファイルをドロップ(作成)します。
| ファイル名
|
ファイルサイズ
|
コメント
|
| WINHEX32XX.WRM
|
58,156 バイト
|
ワームのMIMEエンコード形式のコピー
|
| WINSYS32XX.ZZP
|
58,374 バイト
|
ワームを含むMIMEエンコード形式のZIP
|
| SYST32WIN.DLL
|
不定
|
電子メールアドレスから抽出
|
| SPOOFED_RECIPS.OCX
|
不定
|
|
| BCEGFDS.LLL
|
0 バイト
|
| ZHCARXXI.WX
|
0 バイト
|
| ZMNDPGWF.KXX
|
0 バイト
|
・W32/Sober.f@MMは、以下の文字列から作成したファイル名を使用して、%system32%フォルダに自身をコピーします。
- 32
- crypt
- data
- diag
- dir
- disc
- explorer
- host
- log
- run
- service
- smss32
- spool
- sys
- win
・例:WINSYSSERVICE.EXE または DISKDIRRUN.EXE
・システムの起動時に自身を実行するように以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\[generated string] = C:\WINNT\System32\[generated string].exe
|
|
| 感染方法 | TOPへ戻る | |
・W32/Sober.f@MMは、ローカルシステムにある電子メールアドレスに自身を送信することで繁殖します。W32/Sober.f@MMは、電子メールの添付ファイルを自動的に実行する目的で脆弱性を利用することはありません。ユーザがウイルス添付ファイルを選択し、起動するとウイルスに感染します。
|
|
| 駆除方法 | TOPへ戻る | ■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。Windows ME/XPでの駆除についての補足
ウイルスの性質上、1度ウイルスが起動するとマシンは感染し、ウイルスファイルへのリード・アクセスに失敗する可能性があります。このような場合はAVスキャナによるファイルの検知は不可能です。そこで、マシンがウイルスに感染している疑いのある場合は以下の手順にしたがって確認することをお勧めします。
- 1.システムをセーフモードで再起動します。
(電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
- 2.指定のウイルス定義ファイルを使用してシステムスキャンを実行
- 3.ウイルス感染を示すフラグのあるファイルを削除
- 4・デフォルトモードで再起動
■手動で駆除する場合の手順
- ・システムをセーフモードで再起動します。
(電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
- ワームに使用されるファイル名は上記にあるような文字列で構成されます。
例:
- rundiscexplorer.exe
-
rundircrypt.exe
-
sys32dirdisc.exe
-
etc etc
- ランダムに名前の付けられたファイルをウィンドウズディレクトリ(通常はc:\windowsまたはc:\winnt)から削除します。
- 同様に以下のファイルを同じディレクトリから削除します。
- spoofed_recips.ocx
-
syst32win.dll
-
winhex32xx.wrm
-
winsys32xx.zzp
-
レジストリを編集します。
似たような文字列が、システムスタートアップをフックさせるためにレジストリ編集内に作成されます。
以下のキーを削除します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\(作成された文字列)
以下の値を削除します。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunOnce "作成された文字列"
6.デフォルトモードで再起動します。
■Stinger
駆除ツールStingerがW32/Sober.f@MMに対応しています。ダウンロードはこちら
|
|
|
|
|  |
