・W32/Sober.j@MMは、UPXで圧縮された大量配信メーラーで、感染したマシンから見つけ出したメールアドレスに、自身を送信します。
・W32/Sober.j@MMへの感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/Sober.j@MMを検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。)
注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。
|
・ユーザが感染した添付ファイルをダブルクリックすると、偽のエラーメッセージが表示されます。
・W32/Sober.j@MMは、作成されたファイル名を使い、自身を2度システムフォルダにコピーします。このファイルは、メモリ内で稼動しようとし、排他的な読み込みアクセスで他の(プロセス)にアクセスしようとします。
・このプロセスのファイル名は、文字列を組み合わせることで作成され、'.exe'で終了します。
- sys
- host
- dir
- expoler
- win
- run
- log
- 32
- disc
- crypt
- data
- diag
- spool
- service
- smss32
例:
- datadiscwin.exe
- cryptservice.exe
- runlog32.exe
・マシンがブートされる毎に実行されるよう、以下のレジストリキーが作成されます。
- HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "hostexpoler"
Data: C:\WINNT\System32\datadiscwin.exe
- HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "wincryptx"
Data: C:\WINNT\System32\cryptservice.exe %srun%
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "disccryptx"
Data: C:\WINNT\System32\cryptservice.exe %srun%
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "runsmss32"
Data: C:\WINNT\System32\datadiscwin.exe
・ファイルネームとキーは固定ではなく、それらは前述したように作成されるということに注意してください。
・さらにW32/Sober.j@MMは、%windir%システムフォルダに、以下のファイルを作成します。
- clonzips.ssc 78.090 bytes
- clsobern.isc 77.738 bytes
- cvqaikxt.apk 0 bytes
- dgssxy.yoi 0 bytes
- nonzipsr.noz 77.738 bytes
- Odin-Anon.Ger 0 bytes
- sb2run.dii 0 bytes
- sysmms32.lla 0 bytes
- winexerun.dal 1.779 bytes
- winmprot.dal 1.832 bytes
- winroot64.dal 672 bytes
- winsend32.dal 1.779 bytes
- zippedsr.piz 78.090 bytes
メールの大量配信
・W32/Sober.j@MMは、ファイル上の感染したシステムで、以下の拡張子のひとつをもとにしてEメールアドレスを探します。
- pmr
- stm
- inbox
- imb
- csv
- bak
- ihm
- xhtml
- imm
- imh
- cms
- nws
- vcf
- ctl
- dhtm
- cgi
- pp
- ppt
- msg
- jsp
- oft
- vbs
- uin
- ldb
- abc
- pst
- cfg
- mdw
- mbx
- mdx
- mda
- adp
- nab
- fdb
- vap
- dsp
- ade
- sln
- dsw
- mde
- frm
- bas
- adr
- cls
- ini
- ldif
- log
- mdb
- xml
- wsh
- tbb
- abx
- abd
- adb
- pl
- rtf
- mmf
- doc
- ods
- nch
- xls
- nsf
- txt
- wab
- eml
- hlp
- mht
- nfo
- php
- asp
- shtml
- dbx
・W32/Sober.j@MMは、これらの文字ひとつを含むアドレスには自身を送信しません。
- ntp-
- ntp@
- office
- @www
- @from
- support
- redaktion
- smtp-
- @smtp.
- gold-certs
- ftp.
- .dial.
- .ppp.
- anyone
- subscribe
- announce
- @gmetref
- sql.
- someone
- nothing
- you@
- user@
- reciver@
- somebody
- secure
- msdn.
- me@
- whatever@
- whoever@
- anywhere
- yourname
- mustermann
- .kundenserver.
- mailer-daemon
- variable
- password
- noreply
- -dav
- law2
- .sul.t-
- .qmail@
- t-ipconnect
- t-dialin
- ipt.aol
- time
- postmas
- service
- freeav
- @ca.
- abuse
- winrar
- domain.
- host.
- viren
- bitdefender
- spybot
- detection
- ewido.
- emisoft
- linux
- google
- @foo.
- winzip
- @example.
- bellcore.
- @arin
- mozilla
- @iana
- @avp
- @msn
- icrosoft
- @spiegel.
- @sophos
- @panda
- @kaspers
- free-av
- antivir
- virus
- verizon
- @ikarus
- @nai.
- @messagelab
- nlpmail01.
- clock
- sender
- youremail
- home.com
- hotmail.
- t-online
- hostmaster
- webmaster
- info
本文:
・W32/Sober.j@MMによって送信されたメールの本文は、異なるエラーメッセージを含みます。
例:
・上記の例では、メール本文の下部の"*-*-*"で始まる3行がW32/Sober.j@MMによって、目標とされたEメールアドレスのドメイン名をもとにして作成されます。受信者のドメインにより、このラインは異なります。
添付ファイル:
・W32/Sober.j@MMは、作成されたファイル名を用いて自身のコピーを添付します。そのファイルの拡張子は、下記のリストからランダムに選ばれます。
・拡張子が.ZIPの場合、次のファイルを含んだアーカイブを送信します。
- Message_text.txt (many spaces) .pif
・W32/Sober.j@MMによって選ばれた添付ファイルの例です。
mail.4052.scr
verisign.2095.pif
re_mail8831.bat
thats_hard.eml.bat
mycrosift.word.com
oh_nono_1771.scr
im_shocked.5578.DOC.com
voyager.EML.com
