ウイルス情報:「Soberワーム(W32.Sober.F@mm)」にご注意ください

このページの本文へ移動

※今後表示しない場合は右のボタンをクリック（一部装置では再表示される場合があります）対象外、または実施済み

ホーム >
FMVサポート >
パソコン活用情報 >
ウイルス・セキュリティ情報 >
重要なお知らせ >
ウイルス情報:「Soberワーム(W32.Sober.F@mm)」にご注意ください

FMVユーザーの方はユーザー登録をお願いします。電話やメールでのお問い合わせの際に必要です。

新規ユーザー登録ログイン

2004年4月5日
富士通株式会社

ウイルス情報:「Soberワーム(W32.Sober.F@mm)」にご注意ください

W32.Sober.F@mmは、大量メール送信型のワームです。
このウイルスは、パソコン内で見つけたあらゆるメールアドレスに対してW32.Sober.F@mmのコピーを添付ファイルとして送信し、感染を広げます。メール送信時に送信者情報を詐称するため、送信者の特定を困難にします。

以下のようなメールに添付されている、ファイルを実行しないでください。
ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。

1. 特徴

送信される電子メールには次の特徴があります。

差出人

次のような英語、またはドイツ語の差出人か、感染したパソコンから収集したメールアドレスから差出人を生成します。

［英語の場合］
	次のいずれかになります。

	Administrator		Webmaster
	Home		Register
	Service		Info
	admin		Error_Info
	RobotMailer		AutoMailer
	User-info		account
	webmaster

［ドイツ語の場合］
	次のいずれかになります。

	Webmaster		Fehler-Info
	Administrator		RobotMailer
	AutoMailer		Register
	Service		Info
	Passwort		Kundenservice
	Liste		Schwarze-Liste
	Information

［収集したメールアドレスから生成した場合］
	次のようなメールアドレスになります。

	［メールアドレスの名前（※）］@［ドメイン名］

	［ドメイン名］
	次のいずれかになります。

	abuse.de		yahoo.com
	yahoo.de		gmx.de
	gmx.net		web.de
	freenet.de		lycos.de

（※）メールアドレスの「@」より前の文字列になります。
例）メールアドレスが「xxx@nifty.com」の場合、「xxx」

件名

次のような英語、またはドイツ語の件名になります。

［英語の場合］

	［英語のメッセージ］ Message-ID: <［不特定な文字列（※）］.qmail>

	［英語のメッセージ］
	次のいずれかになります。

	Oh my God		Hey
	Hi!		Hi, it's me
	hey you		damn!
	Well, surprised?		Info
	Information		Faulty mail delivery
	Mail delivery failed		Mail Error
	Illegal signs in Mail-Routing		Connection failed
	Invalid mail sentence length		Mail Delivery failure
	Message Error		mail delivery status
	Confirmation Required		Bad Gateway
	Warning!		Your document

［ドイツ語の場合］

	［ドイツ語のメッセージ］ Message-ID: <［不特定な文字列（※）］.qmail>

	［ドイツ語のメッセージ］
	次のいずれかになります。

	Einzelheiten		Hallo Du!
	Hallo!		Hi, Ich bin's
	Ich bin es .-)		Verdammt
	Na, berrascht?!		Info
	Information		Fehlerhafte Mailzustellung
	Mailzustellung fehlgeschlagen		Fehler
	Illegale Zeichen in Mail-Routing		Verbindung fehlgeschlagen
	Ung		Fehler in E-Mail
	Besttigung		Registrierungs-Besttigung
	Ihr neues Passwort		Ihr Passwort
	Datenbank-Fehler		Warnung!
	Details

本文

不特定な英語、またはドイツ語のメッセージになっています。
以下は、使用される可能性がある本文の例になります。

［英語のメッセージ例］

	I hope you accept the result! Follow the instructions to read the message. Please read the document
	* Auto Mail Delivery System * 67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error: _dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_ or_discontinued_[#102]._-_mta134.mail.dcn.com * this line has been modified by Symantec for the purpose of formatting * ** End of Transmission The original message is a separate attachment. --- Web: http://www.［不特定なアドレス］ --- Mail To: User-Hilfe
	など

［ドイツ語のメッセージ例］

	Sieh mal nach ob du den Scheiss auch bei dir drauf hast! Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist! Bye
	* Auto Mail Delivery System * Ihre E-Mail konnte nicht gesendet oder empfangen werden. Bitte berpr fen Sie nochmals diese E-Mail auf mgliche Fehlerquellen. attach: AMD-System.txt * End Transmission Virenschutz --- Web: http://www.［不特定なアドレス］ --- Mail To: User-Hilfe
	など

詳しくは、株式会社シマンテックの詳細情報をご覧ください。

添付ファイル

次のような英語、またはドイツ語のファイル名と、拡張子の組み合わせになっています。

［英語の場合］

	［英語のファイル名］.［拡張子］

［英語のファイル名］
	次のいずれかになります。

	anitv_text		instructions
	your_article		your_passwords
	messagedoc		corrected_text-file
	attach-message		［不特定な文字列（※）］-attachment
	pass-message		［不特定な文字列（※）］-attach
	text		Textdocument

［拡張子］

次のいずれかになります。

	zip
	pif

［ドイツ語の場合］

	［ドイツ語のファイル名］.［拡張子］

［ドイツ語のファイル名］
	次のいずれかになります。

	Oh-Mann		Dokument
	KurzText		AntiVirus-Text
	Anleitung		Passwoerter.txt
	attach-message		Text-Inhalt
	AMD-System.txt		Benutzer-Daten
	Datenbank-Fehler		abuse-liste
	schwarze-listen		Block-Lists

［拡張子］

次のいずれかになります。

	zip
	pif

また、感染すると以下の内容が実行されます。

Windowsのシステムフォルダに「［不特定なファイル名（※）］.exe」というファイル名で自分自身のコピーを作成します。

（※）

次の文字列を不特定に組み合わせたものになります。

sys	host	dir	explorer
win	run	log	32
disc	crypt	data	diag
spool	service	smss32

ウイルスの実行時に次のいずれかの偽のメッセージを表示します。

「

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

」

Windowsのシステムフォルダに「zmndpgwf.kxx」、「zhcarxxi.vvx」、「bcegfds.lll」、「syst32win.dll」、「winsys32xx.zzp」、「winhex32xx.wrm」、「spoofed_recips.ocx」という名前のファイルを作成します。

Windowsの起動時にウイルスが実行されるように設定します。

感染したパソコン内にある、さまざまな拡張子（「asp」、「dbx」、「dhtm」、「doc」、「eml」、「mbx」、「shtml」、「txt」、「vbs」、「wab」、「xls」など）のファイルから電子メールアドレスを収集し、自分自身を送信します。

2. 影響を受けるOS

このウイルスは以下のOSを使用しているPCに感染します。

・	Windows XP
・	Windows Millennium Edition
・	Windows 98
・	Windows 95
・	Windows 2000
・	Windows NT

3. 影響を受けないOS

このウイルスは以下のOSを使用しているPCには感染しません。

・	DOS
・	Linux
・	Macintosh
・	OS/2
・	UNIX

4. 予防方法

このウイルスは、電子メールの添付ファイルを使って感染を広めます。
上記の特徴を持った電子メールに添付されているファイルは開かないようにしましょう。

また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。

5. 感染時の対処方法

Norton Internet Securtiyなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。

また、ウイルス対策ソフトをお持ちでない場合には、シマンテック社から専用の駆除ツールが提供されていますので、そちらをご利用ください。

「W32.Sober.F@mm 駆除ツール」（株式会社シマンテック）
→ http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sober.removal.tool.html

詳しくは、以下の参考情報をご覧ください。

6. 参考情報

ウイルス感染の対処・予防方法については、以下を参考にしてください。

＜ウイルスの詳細＞

「Soberワーム(W32.Sober.F@mm)」詳細情報（株式会社シマンテック）
→ http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sober.f@mm.html

最新のウイルス情報はこちらをご覧ください
→ http://www.symantec.co.jp/region/jp/sarcj/index.html

＜ウイルス対策について＞

「もしウイルスに感染してしまったら…」
→ http://azby.fmworld.net/support/security/practice/practice03.html

「Norton Internet Securityでセキュリティ対策！（ウイルス編）」
→ http://azby.fmworld.net/support/security/practice/practice04.html

- 以上 -

ページの先頭へ