2005年 5月 6日
富士通株式会社
ウイルス情報:「W32.Sober.O@mm」にご注意ください
W32.Sober.O@mmは、侵入先のコンピュータから収集したメールアドレスに対して自分自身を添付ファイルとして送信する大量メール送信型ワームです。このワームは拡散するため独自の SMTP エンジンを使用します。メールは英語またはドイツ語で記述される可能性があります。
※ウイルス対策ソフトメーカーによって名称が異なります。情報をご確認の際はご注意ください。詳しくはこちら
ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。予防方法はこちら
- 特徴
- %Windir%\Connection Wizard\Status\csrss.exe
- %Windir%\Connection Wizard\Status\packed1.sbr
- %Windir%\Connection Wizard\Status\packed2.sbr
- %Windir%\Connection Wizard\Status\packed3.sbr
- %Windir%\Connection Wizard\Status\services.exe
- %Windir%\Connection Wizard\Status\smss.exe
- %Windir%\Connection Wizard\Status\sacri1.ggg
- %Windir%\Connection Wizard\Status\sacri2.ggg
- %Windir%\Connection Wizard\Status\sacri3.ggg
- %Windir%\Connection Wizard\Status\voner1.von
- %Windir%\Connection Wizard\Status\voner2.von
- %Windir%\Connection Wizard\Status\voner3.von
- %Windir%\Connection Wizard\Status\sysonce.tst
- %Windir%\Connection Wizard\Status\fastso.ber
- %System%\adcmmmmq.hjg
- %System%\langeinf.lin
- %System%\nonrunso.ber
- %System%\seppelmx.smx
- %System%\xcvfpokd.tqa
- %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
- %Windir% は可変で Windows インストールフォルダを参照します。標準では、このフォルダは C:\Windows (Windows 95/98/Me/XP)、または C:\Winnt (Windows NT/2000) です。
- sacri1.ggg、sacri2.ggg、sacri3.ggg、voner1.von、voner2.von、voner3.von、sysonce.tst、fastso.ber、adcmmmmq.hjg、langeinf.lin、nonrunso.ber、seppelmx.smx、xcvfpokd.tqa は悪意のないファイルです。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run "_WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run " WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe - microsoft.com
- bigfoot.com
- yahoo.com
- t-online.de
- google.com
- hotmail.com
- .abc
- .abd
- .abx
- .adb
- .ade
- .adp
- .adr
- .asp
- .bak
- .bas
- .cfg
- .cgi
- .cls
- .cms
- .csv
- .ctl
- .dbx
- .dhtm
- .doc
- .dsp
- .dsw
- .eml
- .fdb
- .frm
- .hlp
- .imb
- .imh
- .imh
- .imm
- .inbox
- .ini
- .jsp
- .ldb
- .ldif
- .log
- .mbx
- .mda
- .mdb
- .mde
- .mdw
- .mdx
- .mht
- .mmf
- .msg
- .nab
- .nch
- .nfo
- .nsf
- .nws
- .ods
- .oft
- .php
- .phtm
- .pl
- .pmr
- .pp
- .ppt
- .pst
- .rtf
- .shtml
- .slk
- .sln
- .stm
- .tbb
- .txt
- .uin
- .vap
- .vbs
- .vcf
- .wab
- .wsh
- .xhtml
- .xls
- .xml
- -dav
- .dial.
- .kundenserver.
- .ppp.
- .qmail@
- .sul.t-
- @arin
- @avp
- @ca.
- @example.
- @foo.
- @from.
- @gmetref
- @iana
- @ikarus.
- @kaspers
- @messagelab
- @nai.
- @panda
- @smtp.
- @sophos
- @www
- abuse
- announce
- antivir
- anyone
- anywhere
- bellcore.
- bitdefender
- clock
- detection
- domain.
- emsisoft
- ewido.
- free-av
- freeav
- ftp.
- gold-certs
- host.
- icrosoft.
- ipt.aol
- law2
- linux
- mailer-daemon
- mozilla
- mustermann@
- nlpmail01.
- noreply
- nothing
- ntp-
- ntp.
- ntp@
- office
- password
- postmas
- reciver@
- secure
- service
- smtp-
- somebody
- someone
- spybot
- sql.
- subscribe
- support
- t-dialin
- t-ipconnect
- test@
- time
- user@
- variabel
- verizon.
- viren
- virus
- whatever@
- whoever@
- winrar
- winzip
- you@
- yourname
- Re:Your Password
- Re:Registration Confirmation
- Re:Your email was blocked
- Re:mailing error
- Re: [blank]
- ok ok ok,,,,, here is it
- Account and Password Information are attached!
Visit: http:/ /www.[random domain] - This is an automatically generated E-mail Delivery Status Notification.
Mail-Hzeader, Mail-Body and Error Description are attached
ランダムに次のうちのいづれかのメッセージを本文の最後に追加する。
- Attachment-Scanner: Status OK
- AntiVirus: No Virus found
- Server-AntiVirus: No Virus (Clean)
- http:/ / www.[random domain]
- our_secret.zip
- mail_info.zip
- error-mail_info.zip
- account_info.zip
- account_info-text.zip
- Ihr Passwort
- Mail-Fehler!
- Ihre E-mail wurde verweigert
- Ich bin's, was zum lachen ;)
- Glueckwunsch: Ihr WM Ticket
- WM Ticket Verlosungz
- WM-Ticket-Auslosung
- Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp
- Diese E-mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.[random domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer# - Nun sieh dir das mal an
Was ein Ferkel .... - Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
ランダムに次のうちのいづれかのメッセージを本文の最後に追加する。
- Mail-Scanner: Es wurde kein Virus festgestellt
- AntiVirus: Kein Virus gefunden
- AntiVirus-System: Kein Virus erkannt
- WebSite: http:/ /www.[random domain]
- LOL.zip
- autoemail-text.zip
- _PassWort-Info.zip
- Fifa_Info-Text.zip
- okTicket-info.zip
- 影響を受けるOS このウイルスは以下のOSを使用しているPCに感染します。
- Windows XP
- Windows Me
- Windows 98
- Windows 95
- Windows Server 2003
- Windows 2000
- Windows NT
- 影響を受けないOS このウイルスは以下のOSを使用しているPCには感染しません。
- DOS
- Linux
- Macintosh
- Novell Netware
- OS/2
- UNIX
- 予防方法
- 感染時の対処方法
- 参考情報
次のメッセージを表示します。
タイトル:WinZip Self-Extractor
本文:Error: CRC not complete
次のファイルを作成します。注意:
W32.Sober.O@mmは、WINDOWSディレクトリに新たに作成したディレクトリに自身をコピーし、システムのスタートアップに自身をロードするためのレジストリー実行キーを作成します。
NTP サーバのポート37へコンタクトまたは次のドメインへコンタクトすることにより、ネットワークの接続を確認します。
次の拡張子のついたファイルからメールアドレスを集めます。
ワームは次の文字列が含まれるアドレスへのメール送信しません。
以下のようなメールに添付されているファイルを実行しないでください。
W32.Sober.O@mmは以下のような電子メールに自分自身を添付して送信します。送信されるメールは英語またはドイツ語で記述されている可能性があります。
■英語の場合
| 差出人: |
| 詐称されている可能性がある |
| 件名 |
|
以下のうちいずれか:
|
| 本文 |
|
以下のうちいずれか: |
| 添付ファイル |
|
次のうちいづれか: 注意: 添付ファイルはワームのコピーが含まれる zip ファイルです。zip ファイル内のファイル名は Winzipped-Text_Data.txt[many spaces].pif または Winzipped-Text_Data.txt[many spaces].exe です。 |
■ドイツ語の場合
| 差出人: |
| 詐称されている可能性がある |
| 件名 |
|
以下のうちいずれか:
|
| 本文 |
|
以下のうちいずれか: |
| 添付ファイル |
|
次のうちいづれか:
注意: 添付ファイルはワームのコピーが含まれる zip ファイルです。zip ファイル内のファイル名は Winzipped-Text_Data.txt[many spaces].pif または Winzipped-Text_Data.txt[many spaces].exe です。 |
このウイルスは、電子メールの添付ファイルを使って感染を広めます。
上記の特徴を持った電子メールに添付されているファイルは開かないようにしましょう。
また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。
Norton Internet Securityの定義ファイルの更新について
Norton AntiVirusの定義ファイルの更新について
VirusScanの定義ファイル更新について
Norton Internet Securityなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。
また、ウイルス対策ソフトをお持ちでない場合には、シマンテック社から専用の駆除ツールが提供されていますので、そちらをご利用ください。
「W32.Sober.O@mm
駆除ツール (株式会社シマンテック)」
→http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.sober.removal.tool.html
詳しくは、以下の参考情報をご覧ください。
ウイルス感染の対処・予防方法については、以下を参考にしてください。
<ウイルスの詳細>
ウイルス対策ソフトメーカーによって名称が異なります。情報をご確認の際はご注意ください。
シマンテック「W32.Sober.O@mm」
→http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.sober.o@mm.html
トレンドマイクロ「WORM_SOBER.S」
→http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.S
ネットワークアソシエイツ(マカフィー)「W32/Sober.p@MM」
→http://www.mcafeesecurity.com/japan/security/virS.asp?v=W32/Sober.p@MM
<ウイルス対策について>
「もしウイルスに感染してしまったら…」
→ http://azby.fmworld.net/support/security/practice/practice03.html
「Norton Internet Securityでセキュリティ対策!(ウイルス編)」
→ http://azby.fmworld.net/support/security/practice/practice04.html
- 以上 -
