ウイルス情報
かかりやすさ:中
ソバー・F
( Worm.Sober.f )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2004年4月4日(日)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信します。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
- ■感染しないためには
-
- メールに添付された添付ファイルを実行しないようにしてください。
使用される拡張子は「.pif、.exe」のいずれかです。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:以下の可能性があります。
Bad Gateway
Best
Confirmation Required
Connection failed
damn!
Datenbank-Fehler
Details
Einzelheiten
Faulty mail delivery
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey
Hey Du
hey you
Hi!
Hi, Ich bin's
Hi, it's me
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegal signs in Mail-Routing
Illegale Zeichen in Mail-Routing
Info
Information
Invalid mail sentence length
Mail delivery failed
Mail Delivery failure
mail delivery status
Mail Error
Mailzustellung fehlgeschlagen
Message Error
Na,
Oh my God
Registrierungs-Best
Ung
Verbindung fehlgeschlagen
Verdammt
Warning!
Warnung!
Well, surprise?!
Your document
Your mail account
Your mail-account
Your password
本文:以下の可能性があります。
Ich war auch ein wenig
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann
Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
Dokument
KurzText
Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye
AntiVirus-Text
Anleitung
Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passw
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment
Dokumente
Text-Inhalt
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte
attach:
AMD-System.txt
* End Transmission
--- Web: http://www. <ドメイン名>
--- Mail To: User-Hilfe
Passwort und Benutzername wurde erfolgreich ge
Ihre Benutzernamen und Passw
++++ Im www erreichbar unter: http://www. <ドメイン名>
++++ E-Mail: KundenInfo
Benutzer-Daten
Wegen eines Datenbank- Fehlers k
Wenn Sie Unregelm
Vielen Dank f
+++ Ein Service von
+++ http://www. <ドメイン名>
+++ E-Mail: Kundenservice
Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
Liste
Schwarze-Liste
***
Mail- Anhang: Keine verd
Mail Scanner: Kein Virus gefunden
Anti- Virus: Es wurde kein Virus erkannt
Virenschutz
*** http://www. <ドメイン名>
I was surprised, too! :-(
Who could suspect something like that?
shock
All OK :)
see, what i've found!
hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye
I 've told you!:-) sometime I grab your passwords!
your_passwords
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www. <ドメイン名>
++++ Mail To: User-info
67.28.114.32_failed_after_I_sent_the_message./
Remote_host_said:_554_delivery_error:_dd_
Sorry_your_message_cannot_be_delivered._
This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission
The original message is a separate attachment.
--- Mail To: UserHelp
Error_Info
_attach
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ Mail: home
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
Mail- Attachment: No suspicious Virus signatures
Mail Scanner: No Virus found
Anti-Virus: No Virus!
添付ファイル:以下のファイル名の可能性があります。使用される拡張子は「.pif、.exe」のいずれかです。
Administrator
AMD-System.txt
anitv_text
AntiVirus-Text
attach-message
AutoMailer
Benutzer-Daten
block-lists
check_this
corrected_text-file
database_partial
database
Datenbank_Auszug
dokument
Error_Info
error
error-message
Fehler-Info
help
instructions
kurztext
message
Money-Help
partial
pass-message
pmessage-text
RobotMailer
Schwarze-Liste
textdocument
Text-Inhalt
User-info
webmaster
your_article
your_passwords
- レジストリの値を作成
添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\<ランダムな文字列>
= %SysDir%\<ランダムな文字列>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\<ランダムな文字列>
= "%SysDir%\<ランダムな文字列>.exe %1
%SysDir% はシステムディレクトリです。
ランダムな文字列は、以下からランダムに選択された文字列で構成されています。
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
同じ場所に以下のファイルが作成されます。
zmndpgwf.kxx
zhcarxxi.vvx
bcegfds.lll
syst32win.dll
winsys32xx.zzp
winhex32xx.wrm
spoofed_recips.ocx
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
abc
abd
abx
adb
ade
adp
adr
asp
bas
cfg
cgi
cls
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
ods
oft
php
pl
pp
ppt
pst
rtf
shtml
sln
tbb
txt
uin
vap
vbs
wab
wsh
xls
xml
ただし、下記を含むメールアドレスには送信しません。
mailer-daemon
office
redaktion
support
variabel
password
time
postmas
service
freeav/
@ca.
abuse
winrar
domain.
host.
viren
ewido.
emsisoft
linux
google
@foo.
winzip
@arin
mozilla
@iana
@avp
@msn
microsoft.
@sophos
@panda
symant
ntp-
ntp@
@ntp.
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
clock
yahoo.com
yahoo.de
gmx.de
gmx.net
web.de
freenet.de
lycos.de