製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/Sober.j@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4409
対応定義ファイル
(現在必要とされるバージョン)
4409 (現在7512)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名Sober.H@mm (Norman) Trojan.Win32.VB.qa (AVP) W32.Sober.I@mm (Symantec) Worm_Sober.I (Trend)
情報掲載日2004/11/19
発見日(米国日付)2004/11/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/26Generic.dx!0...
07/26RDN/Generic....
07/26RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7512
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Sober.j@MMは、UPXで圧縮された大量配信メーラーで、感染したマシンから見つけ出したメールアドレスに、自身を送信します。

・W32/Sober.j@MMへの感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/Sober.j@MMを検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。)

注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。

・ユーザが感染した添付ファイルをダブルクリックすると、偽のエラーメッセージが表示されます。

・W32/Sober.j@MMは、作成されたファイル名を使い、自身を2度システムフォルダにコピーします。このファイルは、メモリ内で稼動しようとし、排他的な読み込みアクセスで他の(プロセス)にアクセスしようとします。

・このプロセスのファイル名は、文字列を組み合わせることで作成され、'.exe'で終了します。

  • sys
  • host
  • dir
  • expoler
  • win
  • run
  • log
  • 32
  • disc
  • crypt
  • data
  • diag
  • spool
  • service
  • smss32
例:
  • datadiscwin.exe
  • cryptservice.exe
  • runlog32.exe

・マシンがブートされる毎に実行されるよう、以下のレジストリキーが作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "hostexpoler"
    Data: C:\WINNT\System32\datadiscwin.exe
  • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "wincryptx"
    Data: C:\WINNT\System32\cryptservice.exe %srun%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "disccryptx"
    Data: C:\WINNT\System32\cryptservice.exe %srun%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "runsmss32"
    Data: C:\WINNT\System32\datadiscwin.exe

・ファイルネームとキーは固定ではなく、それらは前述したように作成されるということに注意してください。

・さらにW32/Sober.j@MMは、%windir%システムフォルダに、以下のファイルを作成します。

  • clonzips.ssc 78.090 bytes
  • clsobern.isc 77.738 bytes
  • cvqaikxt.apk 0 bytes
  • dgssxy.yoi 0 bytes
  • nonzipsr.noz 77.738 bytes
  • Odin-Anon.Ger 0 bytes
  • sb2run.dii 0 bytes
  • sysmms32.lla 0 bytes
  • winexerun.dal 1.779 bytes
  • winmprot.dal 1.832 bytes
  • winroot64.dal 672 bytes
  • winsend32.dal 1.779 bytes
  • zippedsr.piz 78.090 bytes

メールの大量配信

・W32/Sober.j@MMは、ファイル上の感染したシステムで、以下の拡張子のひとつをもとにしてEメールアドレスを探します。

  • pmr
  • stm
  • inbox
  • imb
  • csv
  • bak
  • ihm
  • xhtml
  • imm
  • imh
  • cms
  • nws
  • vcf
  • ctl
  • dhtm
  • cgi
  • pp
  • ppt
  • msg
  • jsp
  • oft
  • vbs
  • uin
  • ldb
  • abc
  • pst
  • cfg
  • mdw
  • mbx
  • mdx
  • mda
  • adp
  • nab
  • fdb
  • vap
  • dsp
  • ade
  • sln
  • dsw
  • mde
  • frm
  • bas
  • adr
  • cls
  • ini
  • ldif
  • log
  • mdb
  • xml
  • wsh
  • tbb
  • abx
  • abd
  • adb
  • pl
  • rtf
  • mmf
  • doc
  • ods
  • nch
  • xls
  • nsf
  • txt
  • wab
  • eml
  • hlp
  • mht
  • nfo
  • php
  • asp
  • shtml
  • dbx

・W32/Sober.j@MMは、これらの文字ひとつを含むアドレスには自身を送信しません。

  • ntp-
  • ntp@
  • office
  • @www
  • @from
  • support
  • redaktion
  • smtp-
  • @smtp.
  • gold-certs
  • ftp.
  • .dial.
  • .ppp.
  • anyone
  • subscribe
  • announce
  • @gmetref
  • sql.
  • someone
  • nothing
  • you@
  • user@
  • reciver@
  • somebody
  • secure
  • msdn.
  • me@
  • whatever@
  • whoever@
  • anywhere
  • yourname
  • mustermann
  • .kundenserver.
  • mailer-daemon
  • variable
  • password
  • noreply
  • -dav
  • law2
  • .sul.t-
  • .qmail@
  • t-ipconnect
  • t-dialin
  • ipt.aol
  • time
  • postmas
  • service
  • freeav
  • @ca.
  • abuse
  • winrar
  • domain.
  • host.
  • viren
  • bitdefender
  • spybot
  • detection
  • ewido.
  • emisoft
  • linux
  • google
  • @foo.
  • winzip
  • @example.
  • bellcore.
  • @arin
  • mozilla
  • @iana
  • @avp
  • @msn
  • icrosoft
  • @spiegel.
  • @sophos
  • @panda
  • @kaspers
  • free-av
  • antivir
  • virus
  • verizon
  • @ikarus
  • @nai.
  • @messagelab
  • nlpmail01.
  • clock
  • sender
  • youremail
  • home.com
  • hotmail.
  • t-online
  • hostmaster
  • webmaster
  • info

本文:

・W32/Sober.j@MMによって送信されたメールの本文は、異なるエラーメッセージを含みます。

例:

・上記の例では、メール本文の下部の"*-*-*"で始まる3行がW32/Sober.j@MMによって、目標とされたEメールアドレスのドメイン名をもとにして作成されます。受信者のドメインにより、このラインは異なります。

添付ファイル:

・W32/Sober.j@MMは、作成されたファイル名を用いて自身のコピーを添付します。そのファイルの拡張子は、下記のリストからランダムに選ばれます。

  • .bat
  • .com
  • .pif
  • .scr
  • .zip
・拡張子が.ZIPの場合、次のファイルを含んだアーカイブを送信します。
  • Message_text.txt  (many spaces)  .pif
・W32/Sober.j@MMによって選ばれた添付ファイルの例です。
  • mail.4052.scr
  • verisign.2095.pif
  • re_mail8831.bat
  • thats_hard.eml.bat
  • mycrosift.word.com
  • oh_nono_1771.scr
  • im_shocked.5578.DOC.com
  • voyager.EML.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のエラーメッセージが表示される
  • SMTPネットワークトラフィック
  • ポートTCP37にネットワークトラフィックが存在します。
  • デスクトップ・ファイアウォールが、新しいアプリケーションがインターネットに接続しようとしていることを警告します。

感染方法TOPへ戻る

・ユーザが、感染した添付ファイルをダブルクリックすることで感染します。W32/Sober.j@MMは、ユーザの関与なしに添付ファイルを実行するために脆弱性を利用するものではありません。

駆除方法TOPへ戻る

■感染したウイルスが活動的でない(メモリーにウイルスがロードされていない)システム上では、指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。W32/Sober.j@MMの性質上、感染したウイルスが活動的なシステムには、ウイルスの検出と修復に対応エンジン4.4.00 が必要です。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

Stinger
駆除ツールStingerがW32/Sober.j@MMに対応しています。ダウンロードはこちら

手動での削除

・W32/Sober.j@MMのプロセスは、タスクマネージャーで停止できます。

・最初に、二つの起動中のプロセスを発見し、停止する必要があります。しかし、上記のように、W32/Sober.j@MMは下記リストの文字列から、様々なファイル名を作成します。

  • sys
  • host
  • dir
  • expoler
  • win
  • run
  • log
  • 32
  • disc
  • crypt
  • data
  • diag
  • spool
  • service
  • smss32

・以下の3つの文字列は、作成されたファイル名だと考えれます。

  • datadiscwin.exe
  • cryptservice.exe
  • runlog32.exe

・これらの文字列は、スタートアップをフックするために追加されるレジストリ・キーに使われるキー・ネームを作成すると考えられます。

  • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "hostexpoler"
    Data: C:\WINNT\System32\datadiscwin.exe
  • HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "wincryptx"
    Data: C:\WINNT\System32\cryptservice.exe %srun%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "disccryptx"
    Data: C:\WINNT\System32\cryptservice.exe %srun%
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "runsmss32"
    Data: C:\WINNT\System32\datadiscwin.exe

・それらのキーを見つけ出し、そのワームが感染マシン上で利用する二つのファイル名を判別します

・タスクマネージャーを開き、プロセスタブをえらび、これらのファイル名で二つのプロセスを探し出し、終了ボタンを押してください。

・両方のプロセスが終了した後、上記のレジストリキーを削除してください。

McAfee IntruShield
このウイルスの検出が可能なIntruShield User-Defined Signature (UDS)が作成されています。以下のウェブサイトからダウンロードできます。

https://mysupport.nai.com/
ナレッジベース文書番号: KB38001

※上記のナレッジベース文書をご覧になるには、サービスポータルへのログインが必要です。