ウイルス情報

ウイルス名 危険度

W32/Sobig.c@MM

企業ユーザ: 中
個人ユーザ: 中
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4268
対応定義ファイル
(現在必要とされるバージョン)
4296 (現在7628)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Sobig.C@mm (Symantec) :W32/Sobig.C@mm (F-Secure) :W32/Sobig.dam :WORM_SOBIG.C (Trend)
情報掲載日 03/06/02
発見日(米国日付) 03/05/31
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年6月1日更新情報
感染報告が増加傾向にあるため、危険度を「中」に引き上げました。


この亜種は4267ウイルス定義ファイルでW32/Sobig.dam として検出されます。

・このワームはW32/Sobig.b@MM ウイルスと同じく、Eメール、ネットワーク共有を介して繁殖し、送信メッセージを作成するためのSMTPエンジンを内蔵しています。

■電子メール繁殖

・ワームは、感染マシンで開かれた受信メールに、ウイルス自身が内蔵しているSMTPエンジンを使ってメッセージを作成し送り付けます。

W32/Sobig@MM ウイルスと同じように、ワームによって作成される送信メッセージは、添付ファイル名の終わりの文字が除外されていることがあります。これは、添付ファイルの拡張子が「.PIF」ではなく「.PI」 となっているように、特定のメールクライアントが既存のファイル名から文字を削除されたことが原因である可能性があります。

・ターゲットとなるメールアドレスは、感染マシンのファイルから下記の拡張子と一緒に展開されます。

WAB
DBX
HTM
HTML
EML
TXT

・ワームは以下のようなメールで送られています。

差出人:bill@microsoft.com
※(他のどんなメールアドレスでも差出人になり得ます。下記注をご参照ください。)
件名:

  • Approved
  • Re: 45443-343556
  • Re: Application
  • Re: Approved
  • Re: Movie
  • Re: Screensaver
  • Re: Submited (004756-3463)
  • Re: Your application
添付ファイル
注意:上記にあるように、ファイル拡張子が「.PIF」から「.PI 」になっている可能性があります。
  • 45443.pif
  • application.pif
  • approved.pif
  • document.pif
  • documents.pif
  • movie.pif
  • screensaver.scr
  • submited.pif

■メール本文

・全ての情報は添付ファイル内にあります。

※注 この亜種は、差出人をごまかしたり、でっちあげたりします。そのため、表面上のメール送信者が、ウイルスの送信者でない可能性があります。

■共有ネットワーク繁殖

・このワームはネットワーク共有の数を調べ、下記のネットワークのパスにアクセスが可能な場合、その場所に自身をコピーします。

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\

■インストール

・ワームは実行中に、下記のファイルを%windir%ディレクトリに落とし込みます。

  • "mscvb32.exe" (approx 50kB) (自身のコピー)
  • "msddr.dat" (設定ファイル)

・下記のレジストリキーをシステムスタートアップをフックするために追加します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "System MScvb" = %WinDir%\mscvb32.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

ウィンドウズディレクトリ内にfile mscvb32.exe ファイルが存在する。

TOPへ戻る

感染方法

Eメール、ネットワーク共有を介して感染します。

このワームはシステム時間の読み込み、チェックルーチンを含んでいます。日付が2003年6月8日以降になると、ワームは繁殖をしなくなりますが、PCに自身をインストールすることに成功する可能性はあります。

TOPへ戻る

駆除方法

・このウイルスの検出は4267ウイルス定義ファイルでW32/Sobig.damとして検出されます。

・システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、4.1.60エンジンと4268ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

・手動で駆除する場合の手順

  • 1:「Windows」のテキストが表示されている間にF8キーを押して、「SafeMode」を選択し、システムをセーフモードで起動します。
  • 2:ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    mscvb32.exe
    msddr.dat
  • 3:以下のフォルダから異常な実行ファイルを削除します。
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    C:\Windows\All Users\Start Menu\Programs\Startup\
  • 4:レジストリを編集します。"System MScvb" の値を以下の場所から削除します。
    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
  • 5:システムを再起動します。

TOPへ戻る