ウイルス情報
かかりやすさ:中
ソバー・I
( W32.Sober.I.IWorm )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2004年11月19日(金)
- ■感染したらどうなる
-
- メールの添付ファイルを実行すると「WinZip Self-Extractor」という英語のエラーメッセージが表示され、パソコン内のメールアドレスを勝手に探し出し、差出人を偽ったメールを送信します。また、外部から侵入される入り口が作られてしまいます。
- ■感染しないためには
-
- 添付ファイルのファイル名が「im_shocked」「oh_nono」「thats_hard」などで、本文が英語やドイツ語で書かれたメールが来たら、添付ファイルを実行しないですぐに削除してください。(メール本文の具体例は詳細情報をご確認ください。)
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンから勝手にメールアドレスを取得し、なりすまします。
件名:以下の可能性があります。
Confirmation
Delivery_failure_notice
Details
Faulty_mail delivery
illegal signs in your mail
invalid mail
mail delivery system
Mail delivery_failed
Mail Error
Mail_Delivery_failure
Oh God it's
Registration confirmation
Your mail password
Your Password
本文:以下の可能性があります。英語やドイツ語を使用します。
■I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii
*-*-* Mail_Scanner: No Virus
*-*-* SKYNET- Anti_Virus Service
*-*-* http://www.skynet.be
■Your password was changed successfully!
■Protected message is attached!
■++++++ User-Service: http://www.<domain>
++++++ MailTo: postmaster <domain>
- 添付ファイル:ファイル名は以下の可能性があります。
im_shocked
oh_nono
thats_hard
以下の拡張子の可能性があります。
BAT
COM
EXE
PIF
SCR
添付ファイルを実行すると、以下のエラーメッセージが表示されます。
***********************************************
WinZip Self-Extractor
WinZip_Data_Module is missing ~Error: {2A0DCCF6}
***********************************************
- レジストリの値を作成
添付ファイルを実行すると、ワームを以下のいずれかのファイル名でシステムディレクトリに自分自身を保存します。
拡張子は「.EXE」です。
sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[ランダムな文字列] = %System%\[ランダムなファイル名].EXE
さらに以下のレジストリキーを作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[ランダムな文字列] = %System%\[ランダムなファイル名].EXE %run%
同じ場所に以下が作成されます。
clonzips.ssc
clsobern.isc
cvqaikxt.apk
dgssxy.yoi
nonzipsr.noz
Odin-Anon.Ger
sb2run.dii
sysmms32.lla
winexerun.dal
winmprot.dal
winroot64.dal
winsend32.dal
zippedsr.piz
%System%は、システムディレクトリです。
- 大量メール送信
このウイルスは、感染したパソコン内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
pmr
stm
inbox
imb
csv
bak
ihm
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx
以下の文字列を含むアドレスには送信しません。
ntp-
ntp@
office
@www
@from
support
redaktion
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
msdn.
me@
whatever@
whoever@
anywhere
yourname
mustermann
.kundenserver.
mailer-daemon
variable
password
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft
@spiegel.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon
@ikarus
@nai.
@messagelab
nlpmail01.
clock
sender
youremail
home.com
hotmail.
t-online
hostmaster
webmaster
info
- 不正アクセスの許可
このウイルスに感染すると、TCPポート37番が開かれ、不正なアクセスを許可してしまいます。