このページの本文へ移動

富士通

  1. ホーム >
  2. FMVサポート >
  3. Q&A・パソコン活用情報をコーナーから探す >
  4. ウイルス・セキュリティ情報 >
  5. 重要なお知らせ >
  6. ウイルス情報:「Soberワーム(W32.Sober.F@mm)」にご注意ください
ウィルス/セキュリティ情報
2004年4月5日
富士通株式会社
ウイルス情報:「Soberワーム(W32.Sober.F@mm)」にご注意ください
W32.Sober.F@mmは、大量メール送信型のワームです。
このウイルスは、パソコン内で見つけたあらゆるメールアドレスに対してW32.Sober.F@mmのコピーを添付ファイルとして送信し、感染を広げます。 メール送信時に送信者情報を詐称するため、送信者の特定を困難にします。

以下のようなメールに添付されている、ファイルを実行しないでください。
ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。


1. 特徴
送信される電子メールには次の特徴があります。

差出人
次のような英語、またはドイツ語の差出人か、感染したパソコンから収集したメールアドレスから差出人を生成します。

[英語の場合]
  次のいずれかになります。
     Administrator Webmaster
Home Register
Service Info
admin Error_Info
RobotMailer AutoMailer
User-info account
webmaster

[ドイツ語の場合]
  次のいずれかになります。
     Webmaster Fehler-Info
Administrator RobotMailer
AutoMailer Register
Service Info
Passwort Kundenservice
Liste Schwarze-Liste
Information

[収集したメールアドレスから生成した場合]
  次のようなメールアドレスになります。

[メールアドレスの名前(※)]@[ドメイン名]

  [ドメイン名]
  次のいずれかになります。
     abuse.de yahoo.com
yahoo.de gmx.de
gmx.net web.de
freenet.de lycos.de

  (※)メールアドレスの「@」より前の文字列になります。
        例)メールアドレスが「xxx@nifty.com」の場合、「xxx」
件名
次のような英語、またはドイツ語の件名になります。

[英語の場合]

  [英語のメッセージ] Message-ID: <[不特定な文字列(※)].qmail>

  [英語のメッセージ]
  次のいずれかになります。
     Oh my God Hey
Hi! Hi, it's me
hey you damn!
Well, surprised? Info
Information Faulty mail delivery
Mail delivery failed Mail Error
Illegal signs in Mail-Routing Connection failed
Invalid mail sentence length Mail Delivery failure
Message Error mail delivery status
Confirmation Required Bad Gateway
Warning! Your document

[ドイツ語の場合]

  [ドイツ語のメッセージ] Message-ID: <[不特定な文字列(※)].qmail>

  [ドイツ語のメッセージ]
  次のいずれかになります。
     Einzelheiten Hallo Du!
Hallo! Hi, Ich bin's
Ich bin es .-) Verdammt
Na, berrascht?! Info
Information Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen Fehler
Illegale Zeichen in Mail-Routing Verbindung fehlgeschlagen
Ung Fehler in E-Mail
Besttigung Registrierungs-Besttigung
Ihr neues Passwort Ihr Passwort
Datenbank-Fehler Warnung!
Details
本文
不特定な英語、またはドイツ語のメッセージになっています。
以下は、使用される可能性がある本文の例になります。

  [英語のメッセージ例]
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:
_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com *** this line has been modified by Symantec for the purpose of formatting ***
** End of Transmission
The original message is a separate attachment.
--- Web: http://www.[不特定なアドレス]
--- Mail To: User-Hilfe
など

  [ドイツ語のメッセージ例]
Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye
*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte berpr fen Sie nochmals diese E-Mail auf mgliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http://www.[不特定なアドレス]
--- Mail To: User-Hilfe
など

詳しくは、 株式会社シマンテックの詳細情報をご覧ください。
添付ファイル
次のような英語、またはドイツ語のファイル名と、拡張子の組み合わせになっています。

[英語の場合]

  [英語のファイル名].[拡張子]
 
[英語のファイル名]
   次のいずれかになります。
     anitv_text      instructions
your_article your_passwords
messagedoc corrected_text-file
attach-message [不特定な文字列(※)]-attachment
pass-message [不特定な文字列(※)]-attach
text Textdocument
        
[拡張子]
  次のいずれかになります。
     zip
pif

[ドイツ語の場合]

  [ドイツ語のファイル名].[拡張子]
 
[ドイツ語のファイル名]
   次のいずれかになります。
     Oh-Mann      Dokument
KurzText AntiVirus-Text
Anleitung Passwoerter.txt
attach-message Text-Inhalt
AMD-System.txt Benutzer-Daten
Datenbank-Fehler abuse-liste
schwarze-listen Block-Lists
        
[拡張子]
  次のいずれかになります。
     zip
pif

 
また、感染すると以下の内容が実行されます。
   - Windowsのシステムフォルダに「[不特定なファイル名(※)].exe」というファイル名で自分自身のコピーを作成します。
 (※) 次の文字列を不特定に組み合わせたものになります。
sys      host      dir      explorer
win run log 32
disc crypt data diag
spool service smss32
- ウイルスの実行時に次のいずれかの偽のメッセージを表示します。
  「 Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall
- Windowsのシステムフォルダに「zmndpgwf.kxx」、「zhcarxxi.vvx」、「bcegfds.lll」、「syst32win.dll」、「winsys32xx.zzp」、「winhex32xx.wrm」、「spoofed_recips.ocx」という名前のファイルを作成します。
- Windowsの起動時にウイルスが実行されるように設定します。
- 感染したパソコン内にある、さまざまな拡張子(「asp」、「dbx」、「dhtm」、「doc」、「eml」、「mbx」、「shtml」、「txt」、「vbs」、「wab」、「xls」など)のファイルから電子メールアドレスを収集し、自分自身を送信します。


2. 影響を受けるOS
このウイルスは以下のOSを使用しているPCに感染します。
Windows XP
Windows Millennium Edition
Windows 98
Windows 95
Windows 2000
Windows NT


3. 影響を受けないOS
このウイルスは以下のOSを使用しているPCには感染しません。
DOS
Linux
Macintosh
OS/2
UNIX


4. 予防方法
このウイルスは、電子メールの添付ファイルを使って感染を広めます。
上記の特徴を持った電子メールに添付されているファイルは開かないようにしましょう。
 
また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。


5. 感染時の対処方法
Norton Internet Securtiyなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。
 
また、ウイルス対策ソフトをお持ちでない場合には、シマンテック社から専用の駆除ツールが提供されていますので、そちらをご利用ください。
 
「W32.Sober.F@mm 駆除ツール」(株式会社シマンテック)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sober.removal.tool.html
 
詳しくは、以下の参考情報をご覧ください。


6. 参考情報
ウイルス感染の対処・予防方法については、以下を参考にしてください。
 
<ウイルスの詳細>
 
  「Soberワーム(W32.Sober.F@mm)」詳細情報(株式会社シマンテック)
  → http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sober.f@mm.html
 
  最新のウイルス情報はこちらをご覧ください
  → http://www.symantec.co.jp/region/jp/sarcj/index.html
 
<ウイルス対策について>
 
  「もしウイルスに感染してしまったら…」
  → http://azby.fmworld.net/support/security/practice/practice03.html
 
  「Norton Internet Securityでセキュリティ対策!(ウイルス編)」
  → http://azby.fmworld.net/support/security/practice/practice04.html
- 以上 -

ページの先頭へ