ウイルス情報
かかりやすさ:高
ソービッグ・F
( W32/Sobig.F.IWorm )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- --
- 更新日:
- 2003年8月19日(火)
- ■感染したらどうなる
-
- アドレス帳に登録されているアドレスに、ウイルスを添付したメールを送信しますが、メールソフトで送るわけではないので、特に自覚症状はありません。インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
(9月10日以降になるとワームの活動を停止します)
- ■感染しないためには
-
- メールに添付されたファイル名の末尾が「.EXE」のファイルを開かないこと。
- Windowsのセキュリティ修正プログラムを最新にすること。
- LANのフォルダ共有でも感染します。各パソコンにウイルス対策ソフトとファイアウォールを使うこと。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心下さい。
- ■詳細情報
-
- このウイルスはW32/Sobig(ソービッグ)の新しい亜種です。ファイルサイズは約72,568バイトです。これまでのSobigと同じく、MSVCで書かれており、また以下の性質を持っております。
電子メールを通て繁殖する。独自のSMTPエンジンにより送信メッセージを送り出す。
ネットワーク共有を介して繁殖する。
注:このウイルスにはファイル末尾にゴミデータが付随しています。このため正確なファイルサイズは変動します。
- メールを介した繁殖
このウイルスはウイルスのコピーをメールで送信します。送信先アドレスは感染したマシンから採取されます。送信メールは独自のSMTPエンジンを用いて作成します。送信先アドレスは以下の拡張子を持つファイルから採取します。
DBX,HLP,MHT,WAB,EML,TXT,HTM,HTML
- 送信されるメールの形式は以下の通りですのでご注意ください。
件名:
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
添付ファイル:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
本文:
See the attached file for details
Please see the attached file for details
差出人:
差出人のアドレスは、感染マシンから抜き取られたアドレスにすりかえられていることがあります。したがって、ウイルスメールの見かけ上の送信者は、実際の送信者とは異なっていることがほとんどです。
- リモートNTPサーバへのコンタクト
このウイルスはリモートNTPサーバのIPアドレスリストを持っています。そのリストに対し、NTPパケットを送り付けます(デスティネーションポート 123)。
- このウイルスは自己停止型ワームです。
日付が2003年9月10日以降になった場合、このウイルスは繁殖を停止します。
- システムに及ぼす影響
このウイルスは、感染マシンに以下のような形でウイルスのコピーをコピーします。
C:?WINNT?WINPPR32.EXE
・環境設定ファイルも以下のような形で%Windir%に落とし込まれます。
C:?WINNT?WINSTT32.DAT
以下のレジストリキーが追加され、これによりシステム起動がフックされます。
HKEY_LOCAL_MACHINE?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
" TrayX" = C:?WINNT?WINPPR32.EXE /sinc
HKEY_CURRENT_USER?SOFTWARE?Microsoft?Windows?CurrentVersion?Run
" TrayX " = C:?WINNT?WINPPR32.EXE /sinc
- 以下の症状が見られる場合、このウイルスに感染している可能性があります。
WINPPR32.EXEファイルが%WinDir%に存在する。
上記の通りのレジストリフックが存在する。
リモートサーバに向けて予期せぬNTPトラフィックが発生している。