ウイルス情報

ソバー・F

( Worm.Sober.f )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

--

更新日：

2004年4月4日(日)

■感染したらどうなる

• パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信します。メールソフトで送るわけではなく、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。

■感染しないためには

• メールに添付された添付ファイルを実行しないようにしてください。
  使用される拡張子は「.pif、.exe」のいずれかです。詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
  
  件名:以下の可能性があります。
  Bad Gateway
  Best
  Confirmation Required
  Connection failed
  damn!
  Datenbank-Fehler
  Details
  Einzelheiten
  Faulty mail delivery
  Fehler
  Fehler in E-Mail
  Fehlerhafte Mailzustellung
  Hallo Du!
  Hallo!
  Hey
  Hey Du
  hey you
  Hi!
  Hi, Ich bin's
  Hi, it's me
  Ich bin es .-)
  Ihr neues Passwort
  Ihr Passwort
  Illegal signs in Mail-Routing
  Illegale Zeichen in Mail-Routing
  Info
  Information
  Invalid mail sentence length
  Mail delivery failed
  Mail Delivery failure
  mail delivery status
  Mail Error
  Mailzustellung fehlgeschlagen
  Message Error
  Na,
  Oh my God
  Registrierungs-Best
  Ung
  Verbindung fehlgeschlagen
  Verdammt
  Warning!
  Warnung!
  Well, surprise?!
  Your document
  Your mail account
  Your mail-account
  Your password
  
  本文:以下の可能性があります。
  Ich war auch ein wenig
  Wer konnte so etwas ahnen!? Lese selbst
  Oh-Mann
  Alles klaro bei dir?
  Schau mal was Ich gefunden habe!
  Meinst Du das wirklich?
  Dokument
  KurzText
  Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
  Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
  Bye
  AntiVirus-Text
  Anleitung
  Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passw
  Passwoerter.txt
  Details entnehmen Sie bitte dem Attachment
  Dokumente
  Text-Inhalt
  Ihre E-Mail konnte nicht gesendet oder empfangen werden.
  Bitte
  attach:
  AMD-System.txt
  * End Transmission
  --- Web: http://www. <ドメイン名>
  --- Mail To: User-Hilfe
  Passwort und Benutzername wurde erfolgreich ge
  Ihre Benutzernamen und Passw
  ++++ Im www erreichbar unter: http://www. <ドメイン名>
  ++++ E-Mail: KundenInfo
  Benutzer-Daten
  Wegen eines Datenbank- Fehlers k
  Wenn Sie Unregelm
  Vielen Dank f
  +++ Ein Service von
  +++ http://www. <ドメイン名>
  +++ E-Mail: Kundenservice
  Internet Provider Abuse:
  Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
  Bitte beachten Sie folgende Liste:
  Liste
  Schwarze-Liste
  ***
  Mail- Anhang: Keine verd
  Mail Scanner: Kein Virus gefunden
  Anti- Virus: Es wurde kein Virus erkannt
  Virenschutz
  *** http://www. <ドメイン名>
  I was surprised, too! :-(
  Who could suspect something like that?
  shock
  All OK :)
  see, what i've found!
  hi its me
  i've found a shity virus on my pc. check your pc, too!
  follow the steps in this article.
  bye
  I 've told you!:-) sometime I grab your passwords!
  your_passwords
  I hope you accept the result!
  Follow the instructions to read the message.
  Please read the document
  Your password was changed successfully.
  Protected message is attached.
  ++++ Service: http://www. <ドメイン名>
  ++++ Mail To: User-info
  67.28.114.32_failed_after_I_sent_the_message./
  Remote_host_said:_554_delivery_error:_dd_
  Sorry_your_message_cannot_be_delivered._
  This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
  ** End of Transmission
  The original message is a separate attachment.
  --- Mail To: UserHelp
  Error_Info
  _attach
  Read the attachment for details.
  Bad Gateway: The message has been attached.
  +++ A service of
  +++ Mail: home
  Database #Error
  -- Partial message is available!
  -- Error: llegal signs in Mail-Routing
  -- Mail Server: ESMTP VX32.9 Version Betha Alpha
  Mail- Attachment: No suspicious Virus signatures
  Mail Scanner: No Virus found
  Anti-Virus: No Virus!
  
  添付ファイル:以下のファイル名の可能性があります。使用される拡張子は「.pif、.exe」のいずれかです。
  Administrator
  AMD-System.txt
  anitv_text
  AntiVirus-Text
  attach-message
  AutoMailer
  Benutzer-Daten
  block-lists
  check_this
  corrected_text-file
  database_partial
  database
  Datenbank_Auszug
  dokument
  Error_Info
  error
  error-message
  Fehler-Info
  help
  instructions
  kurztext
  message
  Money-Help
  partial
  pass-message
  pmessage-text
  RobotMailer
  Schwarze-Liste
  textdocument
  Text-Inhalt
  User-info
  webmaster
  your_article
  your_passwords
  
• レジストリの値を作成
  添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
  
  システム起動時にウイルスが実行されるように、レジストリの値を作成します。
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\<ランダムな文字列>
  　= %SysDir%\<ランダムな文字列>.exe
  
  　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\<ランダムな文字列>
  　= "%SysDir%\<ランダムな文字列>.exe %1
  
  　%SysDir% はシステムディレクトリです。
  
  ランダムな文字列は、以下からランダムに選択された文字列で構成されています。
  sys
  host
  dir
  explorer
  win
  run
  log
  32
  disc
  crypt
  data
  diag
  spool
  service
  smss32
  
  同じ場所に以下のファイルが作成されます。
  zmndpgwf.kxx
  zhcarxxi.vvx
  bcegfds.lll
  syst32win.dll
  winsys32xx.zzp
  winhex32xx.wrm
  spoofed_recips.ocx
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  abc
  abd
  abx
  adb
  ade
  adp
  adr
  asp
  bas
  cfg
  cgi
  cls
  ctl
  dbx
  dhtm
  doc
  dsp
  dsw
  eml
  fdb
  frm
  hlp
  ini
  jsp
  ldb
  ldif
  log
  mbx
  mda
  mdb
  mde
  mdw
  mdx
  mht
  mmf
  msg
  nab
  nch
  nfo
  nsf
  ods
  oft
  php
  pl
  pp
  ppt
  pst
  rtf
  shtml
  sln
  tbb
  txt
  uin
  vap
  vbs
  wab
  wsh
  xls
  xml
  
  ただし、下記を含むメールアドレスには送信しません。
  mailer-daemon
  office
  redaktion
  support
  variabel
  password
  time
  postmas
  service
  freeav/
  @ca.
  abuse
  winrar
  domain.
  host.
  viren
  ewido.
  emsisoft
  linux
  google
  @foo.
  winzip
  @arin
  mozilla
  @iana
  @avp
  @msn
  microsoft.
  @sophos
  @panda
  symant
  ntp-
  ntp@
  @ntp.
  @kaspers
  free-av
  antivir
  virus
  verizon.
  @ikarus.
  @nai.
  @messagelab
  clock
  yahoo.com
  yahoo.de
  gmx.de
  gmx.net
  web.de
  freenet.de
  lycos.de