ウイルス情報

ウイルス名 危険度

W32/Sober@MM!M681

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4629
対応定義ファイル
(現在必要とされるバージョン)
4635 (現在7709)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Sober.Y (F-Secure)
Sober.X@mm (Symantec)
Sober@MM!CME-681
WORM_SOBER.AG (Trend)
情報掲載日 2005/11/23
発見日(米国日付) 2005/11/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2006年1月9日更新

・W32/Sober@MM!M681の感染が減少したため、危険度を低[要注意]に下げました。

稼働日とダウンロードサイトのリストは、このページの下部で更新しています。

2005年11月23日更新

・W32/Sober@MM!M681の亜種から大量のスパムメールが配信されたため、W32/Sober@MM!M681の危険度が中に上がりました。弊社システムをご利用のお客様は、11月16日にリリースされたウイルス定義ファイル、バージョン4629以上で防御されます。バージョン4629のウイルス定義ファイルでは、W32/Sober@MM!M681は、W32/Sober.gen@MMとして検出されます。バージョン4629以上のウイルス定義ファイルをご利用の場合は、そのままの状態で防御されます。バージョン4635のウイルス定義ファイルでは、このウイルスが(指定されたCME ID を反映した)W32/Sober@MM!M681という名前で検出されるようになります。

・W32/Sober@MM!M681への感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/Sober@MM!M681を検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。)
注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。

・W32/Sober@MM!M681は、11月21日にばら撒かれました。W32/Sober@MM!M681は、添付ファイルとして、以下の例の様な様々な件名や本文のメールとともに受信されます。

件名: hi, ive a new mail address
本文:
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...
cyaaaaaaa
件名: Registration Confirmation
or
件名: Your Password
本文: Account and Password Information are attached!
件名: Paris Hilton & Nicole Richie
本文:
The Simple Life:

View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!

Please use our Download manager.
件名: You visit illegal websites
本文:
Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison


++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505

++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
件名: You visit illegal websites
本文:
Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.


Yours faithfully,
Steven Allison

*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
件名: Registration_Confirmation
本文:
Protected message is attached!


***** Go to: http://www.your_domain
***** Email: postman@your_domain
本文:
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio! Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
本文:
Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
本文:
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank

添付ファイル:

  • reg_pass-data.zip
  • reg_pass.zip
  • question_list.zip
  • mailtext.zip
  • mail_body.zip
  • mail.zip
  • list.zip
  • email_text.zip

・zipファイルは file-packed_datainfo.exe [55,390 バイト]を含んでいます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・添付ファイルが開かれたとき、内包された実行ファイルが起動し、偽のメッセージが表示されます。

・SoberはWinSecurityという名前のディレクトリを %WinDir% デイレクトリ (通常 c:\windows)作成し、下記のファイルをこのディレクトリに作成します。

W32/Sober@MM!M681のコピー
csrss.exeW32/Sober@MM!M681のコピー
mssock1.dliEmailアドレス
mssock2.dliEmailアドレス
mssock3.dliEmailアドレス
services.exeW32/Sober@MM!M681のコピー
smss.exeW32/Sober@MM!M681のコピー
socket1.ifoW32/Sober@MM!M681を含む、MIMEでエンコードされたアーカイブ
socket2.ifoW32/Sober@MM!M681を含む、MIMEでエンコードされたアーカイブ
socket3.ifoW32/Sober@MM!M681を含む、MIMEでエンコードされたアーカイブ
starter.run0バイトのファイル
winmem1.ory取得されたemailアドレス
winmem2.ory取得されたemailアドレス
winmem3.ory取得されたemailアドレス

・WINDOWS SYSTEMディレクトリ(通常 c:\windows\system32)に下記のファイルが作成されます。

bbvmwxxf.hml0バイトのファイル
filesms.fms0バイトのファイル
langeinf.lin0バイトのファイル
nonrunso.ber0バイトのファイル
rubezahl.rub0バイトのファイル
runstop.rst0バイトのファイル

・スタートアップ時にW32/Sober@MM!M681をロードするために、以下の二つの実行キーがレジストリに作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run "_Windows" = C:\WINDOWS\WinSecurity\services.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run " Windows" = C:\WINDOWS\WinSecurity\services.exe

・W32/Sober@MM!M681は以下のサーバにアクセスしようとします。

  • ntps1-1.uni-erlangen.de
  • time.mit.edu
  • tick.greyware.com
  • tock.keso.fi
  • ntp2c.mcc.ac.uk
  • ntp1.theremailer.net
  • time.chu.nrc.ca
  • time-a.timefreq.bldrdoc.gov
  • time.nrc.ca
  • ntp.massayonet.com.br
  • ntp2b.mcc.ac.uk
  • ntp2.ien.it
  • nist1.datum.com
  • swisstime.ethz.ch
  • clock.psu.edu
  • time.ien.it
  • ptbtime2.ptb.de
  • Rolex.PeachNet.edu
  • ntp.metas.ch
  • ntp3.fau.de
  • utcnist.colorado.edu
  • sundial.columbia.edu
  • vega.cbk.poznan.pl
  • ntp0.cornell.edu
  • ntp-sop.inria.fr
  • rolex.usg.edu
  • time.xmission.com
  • st.ntp.carnet.hr
  • ntp-1.ece.cmu.edu
  • time.nist.gov
  • ntp.lth.se
  • cuckoo.nevada.edu
  • ntp-2.ece.cmu.edu
  • time.kfki.hu
  • ntp.pads.ufrj.br
  • time-ext.missouri.edu
  • ntp1.arnes.si
  • timelord.uregina.ca
  • gandalf.theunixman.com

・2006年1月6日(金)にW32/Sober@MM!M681のEメールを通した拡散が止まり、異なるURLから実行ファイルをダウンロードし始めます。URLは、日付をもとに選択され、2週間毎に変わります。

2006年1月6日より、以下のサイトに接続を試みます。
  • people.freenet.de/mclvompycem/[omitted]
  • scifi.pages.at/zzzvmkituktgr/[omitted]
  • people.freenet.de/fseqepagqfphv/[omitted]
  • people.freenet.de/wjpropqmlpohj/[omitted]
  • home.arcor.de/jmqnqgijmng/[omitted]
  • people.freenet.de/qisezhin/[omitted]
  • home.arcor.de/ocllceclbhs/[omitted]
  • home.arcor.de/srvziadzvzr/[omitted]
  • home.pages.at/npgwtjgxwthx/[omitted]
  • home.arcor.de/dixqshv/[omitted]
  • home.arcor.de/nhirmvtg/[omitted]
  • people.freenet.de/urfiqileuq/[omitted]
  • people.freenet.de/smtmeihf/[omitted]
  • free.pages.at/emcndvwoemn/[omitted]
  • people.freenet.de/zmnjgmomgbdz/[omitted]
2006年1月20日より、以下のサイトに接続を試みます。
  • people.freenet.de/idoolwnzwuvnmby [truncated]
  • people.freenet.de/mhfas [truncated]
  • people.freenet.de/nkpphimpf [truncated]
  • people.freenet.de/ozumt [truncated]
  • people.freenet.de/bnfyfnueoom [truncated]
  • people.freenet.de/kbyquqbw [truncated]
  • people.freenet.de/mlmmmlmhc [truncated]
  • scifi.pages.at/ikzfpao [truncated]
  • home.pages.at/ecljow [truncated]
  • free.pages.at/wgqybixqy [truncated]
  • home.arcor.de/ykfjxp [truncated]
  • home.arcor.de/oodh [truncated]
  • home.arcor.de/mtgv [truncated]
  • home.arcor.de/tucrghif [truncated]
  • home.arcor.de/ftpkwywvkdbu [truncated]
2006年2月4日より、以下のサイトに接続を試みます。
  • people.freenet.de/xvpmtddp [truncated]
  • people.freenet.de/ybuukppm [truncated]
  • people.freenet.de/tqdpdrhw [truncated]
  • people.freenet.de/sxjvch [truncated]
  • people.freenet.de/ivevmrc [truncated]
  • people.freenet.de/chcnrvn [truncated]
  • home.arcor.de/dixq [truncated]
  • scifi.pages.at/ootakk [truncated]
  • home.pages.at/uqjsxtsacg [truncated]
  • free.pages.at/hdovzt [truncated]
  • home.arcor.de/yrgbkt [truncated]
  • home.arcor.de/fleaveprfkbrv [truncated]
  • home.arcor.de/grmnyg [truncated]
  • home.arcor.de/jntwdtn [truncated]
  • home.arcor.de/xvzwen [truncated]
2006年2月18日より、以下のサイトに接続を試みます。
  • people.freenet.de/kvnxjghpb [truncated]
  • people.freenet.de/kudkpqgs [truncated]
  • people.freenet.de/ivdmxnd [truncated]
  • people.freenet.de/wjfudqoed [truncated]
  • people.freenet.de/drmegnt [truncated]
  • people.freenet.de/vlxam [truncated]
  • people.freenet.de/oeejkiil [truncated]
  • scifi.pages.at/nikxioxckm [truncated]
  • home.pages.at/dfdccnzn [truncated]
  • free.pages.at/asoqqliez [truncated]
  • home.arcor.de/lwmpcpoq [truncated]
  • home.arcor.de/fzsybpt [truncated]
  • home.arcor.de/vffe [truncated]
  • home.arcor.de/cumhhsm [truncated]
  • home.arcor.de/fhljs [truncated]
2006年3月2日より、以下のサイトに接続を試みます。
  • people.freenet.de/sxbbph [truncated]
  • people.freenet.de/obkqlyle [truncated]
  • people.freenet.de/ysqyydcqyxcq [truncated]
  • people.freenet.de/vcbcci [truncated]
  • people.freenet.de/ztoktkc [truncated]
  • people.freenet.de/hkakkkufs [truncated]
  • people.freenet.de/behkvl [truncated]
  • scifi.pages.at/vaicwygd [truncated]
  • home.pages.at/yjkoccqyjkx [truncated]
  • free.pages.at/njjmmmgq [truncated]
  • home.arcor.de/uswu [truncated]
  • home.arcor.de/ehqhkk [truncated]
  • home.arcor.de/jjlcxaqc [truncated]
  • home.arcor.de/pbvbwekyb [truncated]
  • home.arcor.de/oozaztutl [truncated]
2006年3月16日より、以下のサイトに接続を試みます。
  • people.freenet.de/wewhissrvlf [truncated]
  • people.freenet.de/cymo [truncated]
  • people.freenet.de/ykfqgkcpdz [truncated]
  • people.freenet.de/zvbgrir [truncated]
  • people.freenet.de/iekzyggeekn [truncated]
  • people.freenet.de/anbjhsob [truncated]
  • people.freenet.de/mnjemtyav [truncated]
  • scifi.pages.at/rsdou [truncated]
  • home.pages.at/qcvcfufc [truncated]
  • free.pages.at/tddffjn [truncated]
  • home.arcor.de/pvuvxkee [truncated]
  • home.arcor.de/hbxc [truncated]
  • home.arcor.de/bnzkrbcrr [truncated]
  • home.arcor.de/nlomw [truncated]
  • home.arcor.de/inwlcrqrmdb [truncated]
2006年3月30日より、以下のサイトに接続を試みます。
  • people.freenet.de/rslipmpm [truncated]
  • people.freenet.de/wxlokexul [truncated]
  • people.freenet.de/qoeccvmmv [truncated]
  • people.freenet.de/reowen [truncated]
  • people.freenet.de/tkhzdq [truncated]
  • people.freenet.de/mnfduqzj [truncated]
  • people.freenet.de/uuvnvf [truncated]
  • scifi.pages.at/ewrencdwz [truncated]
  • home.pages.at/mmzohagszca [truncated]
  • free.pages.at/qlojqlc [truncated]
  • home.arcor.de/ejwdzewdl [truncated]
  • home.arcor.de/tktdxgghyx [truncated]
  • home.arcor.de/dztwisrba [truncated]
  • home.arcor.de/bivrvxrldbi [truncated]
  • home.arcor.de/brbdhabr [truncated]
2006年4月14日より、以下のサイトに接続を試みます。
  • people.freenet.de/ycizcyyybb [truncated]
  • people.freenet.de/hdasdzfhk [truncated]
  • people.freenet.de/itfljpk [truncated]
  • people.freenet.de/gvnhwevn [truncated]
  • people.freenet.de/xfwck [truncated]
  • people.freenet.de/dwuynch [truncated]
  • people.freenet.de/mgbkgqdm [truncated]
  • scifi.pages.at/zyrsr [truncated]
  • home.pages.at/oxlbcuv [truncated]
  • free.pages.at/klwypl [truncated]
  • home.arcor.de/iytccbmi [truncated]
  • home.arcor.de/egfhtzsziti [truncated]
  • home.arcor.de/eeezorceelfi [truncated]
  • home.arcor.de/bypkirk [truncated]
  • home.arcor.de/ottoqoc [truncated]
2006年4月28日より、以下のサイトに接続を試みます。
  • people.freenet.de/bynlfgyq [truncated]
  • people.freenet.de/qzfupmaj [truncated]
  • people.freenet.de/uwegufxvwf [truncated]
  • people.freenet.de/tgwza [truncated]
  • people.freenet.de/lsjvvoenjvp [truncated]
  • people.freenet.de/bbvb [truncated]
  • people.freenet.de/sszwf [truncated]
  • scifi.pages.at/hsxzxtiww [truncated]
  • home.pages.at/ucobw [truncated]
  • free.pages.at/qnhxfpnq [truncated]
  • home.arcor.de/dnvem [truncated]
  • home.arcor.de/agmzqaju [truncated]
  • home.arcor.de/gnxsvga [truncated]
  • home.arcor.de/fmnfbinnm [truncated]
  • home.arcor.de/oufl [truncated]
2006年5月12日より、以下のサイトに接続を試みます。
  • people.freenet.de/zoosla [truncated]
  • people.freenet.de/mnfduq [truncated]
  • people.freenet.de/venel [truncated]
  • people.freenet.de/prlrkzh [truncated]
  • people.freenet.de/jkygfnif [truncated]
  • people.freenet.de/uifposxx [truncated]
  • people.freenet.de/hjushfqn [truncated]
  • scifi.pages.at/tiefgndvw [truncated]
  • home.pages.at/jnjtcj [truncated]
  • free.pages.at/duhdkkbkvcu [truncated]
  • home.arcor.de/mmeamt [truncated]
  • home.arcor.de/tjhzfyke [truncated]
  • home.arcor.de/ivrvxrld [truncated]
  • home.arcor.de/ionsgivgvqonvu [truncated]
  • home.arcor.de/agllj [truncated]
2006年5月26日より、以下のサイトに接続を試みます。
  • people.freenet.de/nhhx [truncated]
  • people.freenet.de/fpkqmhafws [truncated]
  • people.freenet.de/pommrkp [truncated]
  • people.freenet.de/ughyukk [truncated]
  • people.freenet.de/uhplcyto [truncated]
  • people.freenet.de/raeezeleqo [truncated]
  • people.freenet.de/hsaaaitf [truncated]
  • scifi.pages.at/vfefsgz [truncated]
  • home.pages.at/psjqzzzto [truncated]
  • free.pages.at/tjxggqemk [truncated]
  • home.arcor.de/mqfsjosnp [truncated]
  • home.arcor.de/zfakn [truncated]
  • home.arcor.de/fwzzq [truncated]
  • home.arcor.de/rtfx [truncated]
  • home.arcor.de/vfecfimevs [truncated]
2006年6月10日より、以下のサイトに接続を試みます。
  • people.freenet.de/ysyahqb [truncated]
  • people.freenet.de/nwdmimqxao [truncated]
  • people.freenet.de/piijnicl [truncated]
  • people.freenet.de/gsgyupdnp [truncated]
  • people.freenet.de/kypvbpunffm [truncated]
  • people.freenet.de/wggugtet [truncated]
  • people.freenet.de/ixltxg [truncated]
  • scifi.pages.at/fvojoz [truncated]
  • home.pages.at/npajsm [truncated]
  • free.pages.at/zakgnag [truncated]
  • home.arcor.de/eymdnfrv [truncated]
  • home.arcor.de/nykvmwb [truncated]
  • home.arcor.de/pvjupjw [truncated]
  • home.arcor.de/fuqllxpnp [truncated]
  • home.arcor.de/nlwwbw [truncated]
2006年6月24日より、以下のサイトに接続を試みます。
  • people.freenet.de/sgihlksoe [truncated]
  • people.freenet.de/eenvvux [truncated]
  • people.freenet.de/igvbvb [truncated]
  • people.freenet.de/qkpo [truncated]
  • people.freenet.de/jgkpzi [truncated]
  • people.freenet.de/ryobblxrxf [truncated]
  • people.freenet.de/iuqv [truncated]
  • scifi.pages.at/uuvnvf [truncated]
  • home.pages.at/kmqqqprru [truncated]
  • free.pages.at/gyoiwnhod [truncated]
  • home.arcor.de/kwwhusfepsq [truncated]
  • home.arcor.de/qhwhz [truncated]
  • home.arcor.de/rhhosoh [truncated]
  • home.arcor.de/qcxprkq [truncated]
  • home.arcor.de/tpswinpw [truncated]
2006年7月8日より、以下のサイトに接続を試みます。
  • people.freenet.de/txyjyjqq [truncated]
  • people.freenet.de/fhcwscxyco [truncated]
  • people.freenet.de/hzjofefe [truncated]
  • people.freenet.de/vchfqv [truncated]
  • people.freenet.de/uxyyfcbfb [truncated]
  • people.freenet.de/bvvpczb [truncated]
  • people.freenet.de/jqoguututl [truncated]
  • scifi.pages.at/clddwc [truncated]
  • home.pages.at/itit [truncated]
  • free.pages.at/hhfijsswwee [truncated]
  • home.arcor.de/hshqtj [truncated]
  • home.arcor.de/gesgamd [truncated]
  • home.arcor.de/txpp [truncated]
  • home.arcor.de/ctjil [truncated]
  • home.arcor.de/fxhydxuxi [truncated]

TOPへ戻る

感染方法

・W32/Sober@MM!M681は、emailで拡散します。以下の拡張子を持つローカルのシステム上で発見されたファイルからEメールのアドレスを取得します。

  • pmr
  • phtm
  • stm
  • slk
  • inbox
  • imb
  • csv
  • bak
  • imh
  • xhtml
  • imm
  • imh
  • cms
  • nws
  • vcf
  • ctl
  • dhtm
  • cgi
  • pp
  • ppt
  • msg
  • jsp
  • oft
  • vbs
  • uin
  • ldb
  • abc
  • pst
  • cfg
  • mdw
  • mbx
  • mdx
  • mda
  • adp
  • nab
  • fdb
  • vap
  • dsp
  • ade
  • sln
  • dsw
  • mde
  • frm
  • bas
  • adr
  • cls
  • ini
  • ldif
  • log
  • mdb
  • xml
  • wsh
  • tbb
  • abx
  • abd
  • adb
  • pl
  • rtf
  • mmf
  • doc
  • ods
  • nch
  • xls
  • nsf
  • txt
  • wab
  • eml
  • hlp
  • mht
  • nfo
  • php
  • asp
  • shtml
  • dbx

・W32/Sober@MM!M681は、以下の文字列を持つプロセスを停止しようとします。

  • microsoftanti
  • gcas
  • gcip
  • giantanti
  • inetupd.
  • nod32kui
  • nod32.
  • fxsbr
  • avwin.
  • guardgui.
  • aswclnr
  • stinger
  • hijack
  • sober
  • brfix
  • s_t_i_n
  • s-t-i-n

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る