ウイルス情報

ウイルス名 危険度

W32/Sober@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4300
対応定義ファイル
(現在必要とされるバージョン)
4361 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Sober (AVP):W32.Sober@mm (Symantec):Win32.HLLM.Odin (Dialogue Science):Win32/Sober.A (Eset)
情報掲載日 03/10/27
発見日(米国日付) 03/10/24
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Sober@MMは大量メール送信型ワームで、Visual Basicで作成されています。AVERTが報告を受けたファイルは、UPXで圧縮されていました。このワームは電子メールの添付ファイルとして以下のいずれかのファイル名で送信されます。

  • Anti-Sob.bat
  • anti-Sob.bat
  • AntiTrojan.exe
  • anti-trojan.exe
  • AntiVirusDoc.pif
  • Bild.scr
  • Check-Patch.bat
  • check-patch.bat
  • CM-Recover.com
  • CM-recover.com
  • Funny.scr
  • funny.scr
  • Hengst.pif
  • Liebe.com
  • little-scr.scr
  • love.com
  • Mausi.scr
  • nacked.com
  • NackiDei.com
  • NAV.pif
  • Odin_Worm.exe
  • perversion.scr
  • Perversionen.scr
  • pic.scr
  • playme.exe
  • potency.pif
  • Privat.exe
  • private.exe
  • Removal-Tool.exe
  • removal-tool.exe
  • robot_mail.scr
  • robot_mailer.pif
  • RobotMailer.com
  • schnitzel.exe
  • screen_doc.scr
  • Screen_Doku.scr
  • security.pif

・このワームの特徴は、以下のとおりです。

  • 自身のSMTPエンジンを内臓
  • ローカルマシンのファイルからターゲット電子メールアドレスを収集
  • 送信するメッセージでは、さまざまな件名、添付ファイル名、本文を使用
  • ファイルの末尾にゴミデータを追加するので、ファイルサイズは63,488以上

・W32/Sober@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。ターゲットマシンからターゲット電子メールアドレスを収集して、以下のファイルに書き込みます。

  • %SysDir%\MACROMED\HELP\MEDIA.DLL
  • (%SysDir%は、Windows Systemディレクトリです。MACROMED\HELPディレクトリは、ワームが作成します。)

・W32/Sober@MMは、ターゲットマシンの%SysDir%ディレクトリに自身を何度もインストールします。

  • %SysDir%\WINREG.EXE
  • %SysDir%\FILEXE.EXE
  • %SysDir%\SIMILARE.EXE

・以下のようなレジストリキーを追加して、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "(文字列)" = %SysDir%\FILEXE.EXE
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "(文字列)" = %SysDir%\FILEXE.EXE

    (文字列)は、感染によってそれぞれ異なります。

・AVERTは、現在、W32/Sober@MMを分析中です。分析終了後、情報を更新します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルとレジストリキーが存在します。

TOPへ戻る

感染方法

・W32/Sober@MMは、ターゲットマシンから抽出した電子メールアドレスに自身を送信することで繁殖します。自身のSMTPエンジンを使用して、送信メッセージを作成します(件名、添付ファイル名、本文はさまざまです)。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

・AVERTはW32/Sober@MMを検出・駆除するためのStingerツールの無償ダウンロードを開始しました。ダウンロードはこちら

TOPへ戻る