ウイルス情報

ウイルス名 危険度

W32/Sobig.d@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4266
対応定義ファイル
(現在必要とされるバージョン)
4296 (現在7652)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Sobig.D@mm (NAV):Win32.HLLM.Reteras (Dialogue Science)
情報掲載日 03/06/19
発見日(米国日付) 03/06/18
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年6月18日更新情報

・W32/Sobig.d@MMは、以下のメディアの注目を集めたため、危険度を“低〔要注意〕”にしました。

http://www.theregister.co.uk/content/56/31292.html

・W32/Sobig.d@MMは、定義ファイル4266(2003年5月21日発行)以降を使用するとW32/Sobig.damとして検出されます。したがって、4266以降の定義ファイルへアップデート済みの場合は、W32/Sobig.d@MMに対応しています。定義ファイル4272では、W32/Sobig.d@MMとしてウイルス名で検出されます。

・W32/Sobig.d@MMはW32/Sobig.c@MMに非常によく似ており、電子メールとネットワーク共有を介して繁殖します。自身のSMTPエンジンで送信メッセージを作成します。

電子メールを介した繁殖

・W32/Sobig.d@MMは、ターゲットマシンから抽出した宛先に、自身のSMTPで作成した電子メールメッセージで自身を送信します。

・このワームが作成した送信メッセージでは、32/Sobig@MMと同様に、添付ファイル名の最後の1文字が欠けています(添付ファイルの拡張子が“.PIF”ではなく、“.PI”です)。

・W32/Sobig.d@MMは、以下のような電子メールで届きます。

送信者:admin@support.com *(さまざまなアドレスが使用されます。下記の注をご覧ください)

件名:(以下のいずれか)

  • Application Ref: 456003
  • Re: Accepted
  • Re: App. 00347545-002
  • Re: Documents
  • Re: Movies
  • Re: Screensaver
  • Re: Your Application (Ref: 003844)
  • Your Application

本文:See the attached file for details

添付ファイル:

注:上記で説明したように、ファイルの拡張子が1文字欠けています。(例:“.PIF”ではなく、“.PI”)

  • accepted.pif
  • app003475.pif
  • application.pif
  • application844.pif
  • applications.pif
  • document.pif
  • movies.pif
  • ref_456.pif
  • screensaver.scr

*注:W32/Sobig.d@MMは送信者アドレスを偽造するので、表示された送信者がウイルスの送信者ではないと考えられます。

ネットワーク共有を介した繁殖

・ネットワーク共有を検索し、パスがアクセス可能な場合(および書き込みアクセスが許可されている場合)は、以下のロケーションに自身をコピーします。

  • \Documents and Settings\All Users\Start Menu\Programs\Startup\
  • \Windows\All Users\Start Menu\Programs\Startup\

インストール

・W32/Sobig.d@MMが実行されると、%WinDir%ディレクトリに以下のファイルを落とし込みます。

  • CFRTB32.EXE(約59kB、ワームのコピー)
  • RSSP32.DAT(設定ファイル)

・以下のレジストリキーを追加して、システムの起動をフックします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "SFtrb Service" = %WinDir%\CFRTB32.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "SFtrb Service" = %WinDir%\CFRTB32.EXE
    ( %WinDir%は、デフォルトのWindowsディレクトリです。例:C:\WINNT、C:\WINDOWS)

リモートNTPサーバへのアクセス

・W32/Sobig.d@MMは、リモートのNTPサーバのIPアドレスを記載したリストを内蔵しています。これらのアドレスに、NTPパケットを送信します(送信先ポート番号:123)。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ %Windows%ディレクトリにCFTRB32.EXEファイル(59,378バイト)が存在します。

・上記のレジストリフックが存在します。

・予期せず、リモートサーバへのNTPトラフィックが発生します(送信先ポート番号:123)。

TOPへ戻る

感染方法

・電子メールとネットワーク共有を介して繁殖します。

・システム日付/時刻の検索および確認という発病ルーチンがあります。

・2003年7月2日以降は繁殖しません(ただし、ターゲットマシンに自身をインストールします)。

TOPへ戻る

駆除方法

・このウイルスの検出は4266ウイルス定義ファイルでW32/Sobig.damとして検出されます。 4272ウイルス定義ファイルにはW32/Sobig.d@MMの検出と駆除機能が含まれています。

・システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、4.1.60エンジンと4268ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

・手動で駆除する場合の手順

  1. 「Windows」のテキストが表示されている間にF8キーを押して、「SafeMode」を選択し、システムをセーフモードで起動します。
  2. ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)
    cftrb32.exe
    rssp32.dat
  3. 以下のフォルダから異常な実行ファイルを削除します。
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    C:\Windows\All Users\Start Menu\Programs\Startup\
  4. レジストリを編集します。"SFtrb Service" の値を以下の場所から削除します。
    "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
  5. システムを再起動します。
  6. Windows ME/XPでの駆除についての補足

    TOPへ戻る