ウイルス情報
かかりやすさ:中
ソバー・Y
( Worm.Sober.y )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- WORM_SOBER.AG
- 更新日:
- 2005年11月21日(月)
- ■感染したらどうなる
-
- 「Error in packed Header」という偽のエラーメッセージが表示され、ウイルス添付メールを勝手に大量送信します。
- ■感染しないためには
-
- メールに添付された添付ファイルをむやみに実行しないようにしてください。
拡張子は「.zip」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:収集したメールアドレスでなりすまします。
件名:以下のいずれかです。
hi,_ive_a_new_mail_address
Mail delivery failed
Registration Confirmation
smtp mail failed
Spam: Registration Confirmation
Your Password
Your IP was logged
Paris_Hilton_&_Nicole_Richie
You visit illegal websites
本文:以下のいずれかです。
-----------------------------
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
-----------------------------
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached
-----------------------------
Account and Password Information are attached!
***** Go to: http://www.{random}.com
***** Email: {random}.com
-----------------------------
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
-----------------------------
Account and Password Information are attached! ---
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
-----------------------------
添付ファイル:以下のいずれかです。
mailtext.zip
mail.zip
reg_pass.zip
mail.zip
reg_pass-data.zip
question_list.zip
list.zip
downloadm
mail_body.zip
zipファイルには、以下のファイルが梱包されています。
File-packed_dataInfo.exe
- レジストリの値を作成
添付ファイルを実行すると、ウィンドウズディレクトリに「services.exe」として自分自身をコピーし、レジストリの値を作成します。
以下のファイルを同じ場所に作成します。
bbvmwxxf.hml
filesms.fms
langeinf.lin
nonrunso.ber
rubezahl.rub
runstop.rst
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
_Windows = "<Windowsディレクトリ>\WinSecurity\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = "<Windowsディレクトリ>\WinSecurity\services.exe"
- 大量メール送信
このウイルスは、ハードディスク内を検索して、拡張子「.wab」のファイルから、メールアドレスを収集し、以下の文字列を含むメールアドレスに、ウイルスを添付したメールを送信します。
3Dwinnt@
3Dwinxp@
4D@
6gf@
961008__derf@
_aix_close@
_lucc._lusol@
a.calpini@
A.Ford@
A.Koenig@
A.Macpherson@
A.Pirard@
aas@
abe@
abierman@
abigail@
abw@
ach@
acidtag@
ActivePerl-Bugs@
ada@
admin@
Administrator@
adq@
adsb@
agentx-request@
agentx@
ajs@
al@
Alan.Burlison@
aldouss@
allen@
allens@
als@
aml@
andreas.koenig@
andrein@
anonymous@
apache@
apis32@
applepi1@
aptr@
ari@
arnaud@
arrow.comp@
arturjus@
asherman@
at_neshkov@
austria@
bah@
bailey@
bammi@
barries@
bbb@
beller@
ben.pavon@
bjepson@
bmd2chen@
bnatale@
bob@
bodahlstrom@
bradapp@
bret@
Brian@
Brian_Dunfordshore@
bronson@
bug-autoconf@
bug-libtool@
bugdb@
bugmongers@
bugs@
burgers@
bvance@
bwijnen@
ca@
caditya@
case@
casey@
cc@
certificate@
cfr@
charsets@
Chris.Davies@
chris@
chris_madsen@
chromatic@
close_bugid1_bugid2_aix@
cogswell@
colinm@
commands_and_bugdids@
coopercc@
correo_cert@
cpan-testers@
cpan@
CPS-requests@
cps@
craig.johnston@
craigberry@
CREA@
Cristian.Estan@
cross@
csb@
csoelle@
ctdean@
cwilson@
d-lewart@
d.cottle@
dada@
daily-build@
damian@
dan@
danb@
daniele@
dankogai@
darrenr@
dave@
DaveS@
David.Billinghurst@
david@
davidf@
dbh@
dcd@
ddegentesh@
dds@
decoux@
delfosse@
derf@
dhaskin@
disman-request@
disman@
dj@
djgpp@
dlevi@
dmag@
dogcow@
dokodon@
dolphin@
domo@
donnyj@
doughera@
dougl@
Douglas_Lankshear@
dougm@
dromasca@
duckling@
eah.Alba@
easmith@
eay@
ed@
egf7@
ellenorzes@
ellison@
emx@
en@
energo@
EnterpriseSales@
erik@
ERJD@
err@
errata@
eserte@
ethereal-dev@
ethereal-users@
expat-bugs@
expat-discuss@
feste@
fielding@
fmaino@
foo@
fred@
friedman@
ft@
g-rom@
gaas@
gbacon@
gbarr@
gerald@
gett@
gh@
ghazi@
gisle@
gnat@
GOD@
gord@
gp@
graham-glass@
Graham.Barr@
gram@
grantm@
grassie@
greatcustomer@
gregor@
gresham_jeffrey@
gsar@
guido@
guy@
h.m.brand@
hacnho@
hakan@
hakanson@
hanno@
Hannu.Napari@
hansm@
hedlund@
heffron@
help@
helpdesk@
hennecke@
henryg@
herinmi@
hfond@
Hiroka_Shimada@
hoagland@
hom00@
hostmib-request@
hostmib@
HowTo@
hsmyers@
hubmib-request@
hubmib@
hv@
hyanantha@
ian@
ibrawley@
iceman@
ida@
idm@
IENCR@
ig@
ilya@
IMO@
info@
ioi@
iosco@
ips@
irfanview@
j.reichelt@
Jacqui.Caren@
james.taylor@
jan.dubois@
jand@
janl@
java2d-comments@
java2d-interest@
jdoe@
jdporter@
jef@
jeff.kowalski@
Jenda@
jfriedl@
jh@
jhi@
jhobbs@
jibz@
jk@
jloup@
jmk@
jns@
Joe.Smith@
joe@
Joe_Smith@
John.Pawling@
john@
johndoe@
johnf@
johnh@
johnny@
jos.clijmans@
joyfire@
jqpublic@
jrb3@
jrearl@
jrobiso2@
js@
jseward@
jsmith@
jtillman@
Julia_Farell@
justin@
justinb@
jvp@
jvromans@
jwalt@
jweveland@
jwz@
kabrianis@
kadhim@
karrer@
katz@
kawagish@
kbhend@
kc5tja@
ken@
kettenis@
keuchel@
kid@
king@
kjahds@
kunitz@
kzm@
lane@
larry@
laszlo.molnar@
le@
lgoddard@
lheintz@
libwww@
licensing@
Lichtenwalder@
Lionel.Cons@
LISTSERV@
ljmoore@
lmjm@
LordPE@
lorian@
lstein@
ltv@
lukka@
lusol@
lutherh@
lwall@
lyris@
m.koster@
M64V@
madaer@
madler@
mah@
mail4smt@
majordomo@
makemaker@
marc@
marcel@
marek@
Mario555@
mark@
mark_conty@
marko.asplund@
martin.pauley@
martin.schaefer@
martin@
Mary.Brown@
master@
matt@
mbeattie@
MBrown@
mdb@
me@
mer@
mibs@
michael@
Mike.Stok@
mikem@
miklin@
mjd-perl-memoize-request@
mjd@
mjtg@
mlaker@
mlich@
mlj3u@
modules@
monte@
mose@
mrcrimson@
mrdamnfrenchy@
mspss@
mts@
muir@
mundy@
murata@
murray@
myfunname@
N.Winton@
name@
nd.greno@
neale@
ned.freed@
neeracher@
neil@
NeilK@
net-snmp-coders@
newspost@
nick@
nik@
njw@
nm1d@
noesis@
o.flebbe@
okamoto@
oliver.gu@
Ollydbg@
om-studio@
omstudio@
order@
oriontrooper@
orwant@
ot@
p_wilkins@
password@
pat_wilkins@
patty@
Paul.Green@
Paul.Marquess@
Paul.Moore@
Paul_Green@
paulclinger@
pcg@
perl-ithreads@
perl-module-hash-memoize@
perl-module-if@
perl-mvs@
perl-thanks@
perl-unicode@
perl-win32-porters@
perl5-porters-faq@
perl5-porters-request@
perl5-porters@
perl@
perlbug@
perlfaq-workers@
perlwin32faq@
personal-basic@
personal-freemail@
personal-premium@
Peter@
pfeifer@
phax@
Philip.Newton@
philip@
pjfarley@
pmarquess@
pne@
PO@
pod-people@
pomeranz@
postmaster@
ppm-request@
premium-server@
pudge@
pueschel@
pvhp@
rainer@
ralf@
ramk@
randy_presuhn@
Raphael_Manfredi@
rar.sales@
rdhw@
rfrye@
rfuller@
rho@
Rich@
richard.foley@
richard@
rjk@
rmb1@
rob_otoole@
robin@
roderick@
roehrich@
rootbeer@
rothd@
rpinder@
rpresuhn@
rra@
rsi@
rspier@
S3RM@
SAcces@
SADAHIRO@
sales@
sam@
sanders@
sanguish@
sar@
sbeck@
sburke@
schinder@
schoenw@
schools@
schwern@
Scott.L.Miller@
Sean.Meisner@
Sebastien.Barre@
sen@
server-certs@
servers@
sethb@
sgudur@
Sh@
shigio@
sho_pi@
silver-certs@
simon@
skimo@
skud@
smcc@
smeschini@
smithj4@
smoke@
snmpv3-request@
snmpv3@
soaplite_server@
soapliteclient@
sog@
some@
sonishi@
soporte@
Stephen.O.Lidie@
Steve_Alpert@
stever@
stewart.moss@
stills0n@
stok@
stone@
sugalskd@
sunds@
svc@
sven@
swmcd@
t.jenness@
takis@
taner@
tbray@
tc@
tchrist@
tcpdump-workers@
tes@
the_network@
Thomas.Dorner@
thong@
Tim.Bunce@
Tim.MacKenzie@
tim.van.holder@
timb@
tiny@
tjerk@
tjh@
tjmather@
to@
tom@
trg@
ts@
tye@
typo_pl@
u_arunkumar@
uh@
unicode-inc@
unicore@
uri@
vadimlv@
Veit.Kannegieser@
vente@
vishalb@
vmsperl@
vnet@
waldbusser@
wegner_thomas@
wegscd@
wilkins@
wim@
win-rar@
winpcap-users@
wlestes@
Wolfgang.Laun@
www@
yjh@
yoshidam@
your@
yvesb@
zenin@
- プロセスの強制終了
ハードディスク内を検索し、"Microsoft Windows 悪意のあるソフトウェアの削除ツール"である「MRT.EXE」というプロセスを停止します。