お客様各位

ウイルス情報:「W32.Sober.X@mm」にご注意ください

---

W32.Sober.X@mmは、独自の SMTP エンジンを使用して拡散しセキュリティ設定を低下させる、大量メール送信ワームです。これは、侵入先のコンピュータから収集したメールアドレスに対して、E メールの添付ファイルとして自分自身を送信します。この E メールは英語またはドイツ語のいずれかである可能性があります。詳しくはこちら

※ウイルス対策ソフトの定義ファイルの更新など、対策をお願いいたします。予防方法はこちら

■ 影響を受ける OS

このウイルスは以下のOSを使用しているPCに感染します。

• Windows 95
• Windows 98
• Windows Me
• Windows NT
• Windows 2000
• Windows XP
• WWindows Server 2003

■ 予防方法

このウイルスは、電子メールの添付ファイルを使って感染を広めます。
上記の特徴を持った電子メールに添付されているファイルは開かないようにしましょう。

また、最新のウイルスに対応できるように、Norton Internet Securityなどのウイルス対策ソフトを利用し、最新のウイルス定義ファイルが提供されていないか常にチェックするようにしましょう。
Norton Internet Securityの定義ファイルの更新について
Norton AntiVirusの定義ファイルの更新について
VirusScanの定義ファイル更新について

■ 特徴・動作

W32.Sober.X@mm は、侵入先のコンピュータから収集したメールアドレスに対して、E メールの添付ファイルとして自分自身を送信します。

E メールの大量送信により、システムが不安定になる可能性があります。

不正アクセスにより、ファイル luall.exe を自分自身のコピーで上書きして、LiveUpdated が起動されるたびにこのワームが実行されるようにします。

1. 次のテキストのメッセージを表示します。
   
   タイトル: WinZip Self-Extractor
   本文: Error in packed Header



2. 次のファイルとして自分自身をコピーします。
   
   
   • %Windir%\WinSecurity\csrss.exe
   • %Windir%\WinSecurity\services.exe
   • %Windir%\WinSecurity\smss.exe

   ---

   注意：
   %Windir% は可変で Windows のインストールフォルダを参照します。標準では、このフォルダは C:\Windows または C:\Winnt です。
   

   ---




3. ワームのコピーを含む、MIME-エンコード化された .zip ファイルである、次のファイルを作成します。
   
   
   • %Windir%\WinSecurity\socket1.ifo
   • %Windir%\WinSecurity\socket2.ifo
   • %Windir%\WinSecurity\socket3.ifo



4. 次の無害なファイルを作成します。これは、ワームによって、E メールの収集および内部フラグとして使用されます。
   
   
   • %Windir%\WinSecurity\mssock1.dli
   • %Windir%\WinSecurity\mssock2.dli
   • %Windir%\WinSecurity\mssock3.dli
   • %Windir%\WinSecurity\winmem1.ory
   • %Windir%\WinSecurity\winmem2.ory
   • %Windir%\WinSecurity\winmem3.ory
   • %Windir%\WinSecurity\sysonce.tst
   • %Windir%\WinSecurity\starter.run
   • %Windir%\WinSecurity\nexttroj.tro



5. W32.Sober@mm ワームの前のバージョンの実行を停止しようとして、次のゼロバイトのファイルを作成します。
   
   
   • %System%\nonrunso.ber
   • %System%\langeinf.lin
   • %System%\filesms.fms
   • %System%\runstop.rst
   • %System%\rubezahl.rub
   • %System%\bbvmwxxf.hml
   
   

   ---

   注意：
   %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
   

   ---




6. 次のプロセスを停止しようとします。
   
   
   • mrt.exe
   • asw*.tmp



7. 上記のいずれかのプロセスが終了すると、次のメッセージを表示します。
   
   タイトル: Antivirus
   本文:
   No Viruses, Trojans or Spyware found!
   Status: OK



8. 次のサブキーの値を抽出します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\LUALL.EXE
   
   これは、デフォルトでは、%ProgramFiles%\Symantec\LiveUpdate\LUALL.EXE をポイントし、標的のファイルを自分自身のコピーで上書きします。
   
   

   ---

   注意:
   %ProgramFiles% は可変でプログラムファイルフォルダを参照します。すべての Windows のバージョンで、デフォルトでは、このフォルダは C:\Program Files です。
   

   ---




9. LiveUpdate が起動されるたびにワームのコピーを実行し、標的のコンピュータのインターネットへの接続状況によって、次にいずれかのメッセージボックスを表示します。
   
   タイトル: LiveUpdate {Symantec}
   本文:
   Thank you for using LiveUpdate. All of the Symantec
   products and components are currently up-to-date.
   
   タイトル: LiveUpdate {Symantec}
   本文:No Connection!



10. LiveUpdate を無効にするために、次の名前の条件にマッチするすべてのファイルを削除します。
    
    
    • %ProgramFiles%\Symantec\LiveUpdate\a*.exe
    • %ProgramFiles%\Symantec\LiveUpdate\luc*.exe
    • %ProgramFiles%\Symantec\LiveUpdate\ls*.exe
    • %ProgramFiles%\Symantec\LiveUpdate\luu*.exe
    
    

    ---

    注意：[番号] は 0 から 9 のいくつかのランダムな番号を意味します。
    

    ---




11. マーカーを設定します。これは、ワームの実行可能ファイルのヘッダー内に位置し、ワームが自分自身をコピーするたびに 1 バイトの値で構成されます。このマーカーは、それぞれのワームのコピーの機能を決定します。5 種類の異なるマーカー値があり、それぞれが異なるアクションを表します。



12. 次のレジストリサブキーへ
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    
    次の値を追加します。
    
    " Windows" = "%Windir%\WinSecurity\services.exe"



13. 次のレジストリサブキーへ
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    
    "_Windows" = "%Windir%\WinSecurity\services.exe"
    
    これにより、Windows が起動されるたびにこれが実行されるようにします。



14. 次のレジストリサブキーへ
    
    HKEY_CLASSES_ROOT\exefile\shell\open
    
    次の値を追加します。
    
    "command" = ""%1" %*"



15. Windows XP SP2 を実行しているコンピュータ上で、次のサービスを無効にします。
    
    名前: wscsvc
    表示名: Security Center



16. 次のフォルダ内で、Windows XP SP2 マシンの TCPIP.SYS ドライバにパッチの適用を試みます。
    
    
    • %System%\drivers\TCPIP.SYS
    • %System%\dllcache\TCPIP.SYS
    • %Windir%\ServicePackFiles\i386\TCPIP.SYS
    
    

    ---

    注意:
    また、このワームは、ファイルのチェックサムを変更し、許可されているハーフオープンの接続の番号を変更することによって (Microsoft セキュリティ情報 MS05-019 のセキュリティの修正を参照)、TCPIP.SYS ファイルの異なるバージョン (build 2180,2505, 2631, 2685) をパッチ適用することもできます。この変更により、TCP/IP プロトコルの正常な機能が変更され、ネットワーク上の問題が生じる可能性があります。

    ---




17. 2006 年 1 月 5 日から、このワームはインターネットから次のファイルのダウンロードと実行を試みます。
    
    [http://]home.pages.at/Gruppfelhuber/[削除済み]/Sober.exe
    
    ダウンロードされたファイルは、実行前に、%Windir%\WinSecurity\attacke.exe へ保存されます。
    
    

    ---

    注意: この文書を書いている時点では、上記のリンクへはアクセスできませんでした。
    

    ---




18. 次のいずれかの DNS サーバの使用を試みます。
    
    4.2.2.3
    24.93.40.33
    38.9.211.2
    62.156.146.242
    65.98.70.107
    67.18.208.130
    69.20.54.201
    69.93.9.167
    70.84.250.212
    70.85.116.133
    70.85.209.148
    128.135.5.5
    128.194.254.2
    128.8.74.2
    128.83.139.9
    128.9.176.32
    129.115.102.150
    129.186.1.200
    129.187.10.25
    129.187.16.1
    130.149.2.12
    131.215.254.100
    131.215.254.100
    131.243.64.3
    134.94.80.2
    147.28.0.39
    151.201.0.39
    158.43.128.1
    193.158.124.143
    193.174.26.133
    194.206.126.200
    194.231.195.79
    194.25.2.129
    194.87.0.9
    195.182.96.29
    195.185.185.195
    198.6.1.2
    198.87.87.38
    200.52.83.103
    200.74.214.246
    203.178.136.36
    204.117.214.10
    204.127.160.3
    204.60.0.3
    205.166.226.38
    207.217.120.43
    207.69.188.186
    209.253.113.2
    209.68.2.46
    209.68.63.250
    212.242.88.2
    213.218.170.6
    213.239.234.108
    216.194.225.70
    217.237.150.225
    217.237.151.161
    219.127.89.34



19. 次のいずれかの NTP サーバへ接続することによって、標的のコンピュータのネットワーク接続および現在の日付をチェックします。
    
    
    • Rolex.PeachNet.edu
    • clock.psu.edu
    • cuckoo.nevada.edu
    • gandalf.theunixman.com
    • nist1.datum.com
    • ntp-1.ece.cmu.edu
    • ntp-2.ece.cmu.edu
    • ntp-sop.inria.fr
    • ntp.lth.se
    • ntp.massayonet.com.br
    • ntp.metas.ch
    • ntp.pads.ufrj.br
    • ntp0.cornell.edu
    • ntp1.arnes.si
    • ntp1.theremailer.net
    • ntp2.ien.it
    • ntp2b.mcc.ac.uk
    • ntp2c.mcc.ac.uk
    • ntp3.fau.de
    • ntps1-1.uni-erlangen.de
    • ptbtime2.ptb.de
    • rolex.usg.edu
    • st.ntp.carnet.hr
    • sundial.columbia.edu
    • swisstime.ethz.ch
    • tick.greyware.com
    • time-a.timefreq.bldrdoc.gov
    • time-ext.missouri.edu
    • time.chu.nrc.ca
    • time.ien.it
    • time.kfki.hu
    • time.mit.edu
    • time.nist.gov
    • time.nrc.ca
    • time.windows.com
    • time.xmission.com
    • timelord.uregina.ca
    • tock.keso.fi
    • utcnist.colorado.edu
    • vega.cbk.poznan.pl
    • time.windows.com



20. 次の拡張子が付いているファイルからメールアドレスを収集します。
    
    
    • .abc
    • .abd
    • .abx
    • .adb
    • .ade
    • .adp
    • .adr
    • .asp
    • .bak
    • .bas
    • .cfg
    • .cgi
    • .cls
    • .cms
    • .csv
    • .ctl
    • .dbx
    • .dhtm
    • .doc
    • .dsp
    • .dsw
    • .eml
    • .fdb
    • .frm
    • .hlp
    • .imb
    • .imh
    • .imh
    • .imm
    • .inbox
    • .ini
    • .jsp
    • .ldb
    • .ldif
    • .log
    • .mbx
    • .mda
    • .mdb
    • .mde
    • .mdw
    • .mdx
    • .mht
    • .mmf
    • .msg
    • .nab
    • .nch
    • .nfo
    • .nsf
    • .nws
    • .ods
    • .oft
    • .php
    • .phtm
    • .pl
    • .pmr
    • .pp
    • .ppt
    • .pst
    • .rtf
    • .shtml
    • .slk
    • .sln
    • .stm
    • .tbb
    • .txt
    • .uin
    • .vap
    • .vbs
    • .vcf
    • .wab
    • .wsh
    • .xhtml
    • .xls
    • .xml
    
    ワームは、次の文字列が含まれる E メールアドレスには自分自身を E メール送信しません。
    
    • -dav
    • .dial.
    • .kundenserver.
    • .ppp.
    • .qmail@
    • .sul.t-
    • @arin
    • @avp
    • @ca.
    • @example.
    • @foo.
    • @from.
    • @gmetref
    • @iana
    • @ikarus.
    • @kaspers
    • @messagelab
    • @nai.
    • @panda
    • @smtp.
    • @sophos
    • @www
    • abuse
    • announce
    • antivir
    • anyone
    • anywhere
    • bellcore.
    • bitdefender
    • clock
    • detection
    • domain.
    • emsisoft
    • ewido.
    • free-av
    • freeav
    • ftp.
    • gold-certs
    • google
    • host.
    • icrosoft.
    • ipt.aol
    • law2
    • linux
    • mailer-daemon
    • mozilla
    • mustermann@
    • nlpmail01.
    • noreply
    • nothing
    • ntp-
    • ntp.
    • ntp@
    • office
    • password
    • postmas
    • reciver@
    • secure
    • service
    • smtp-
    • somebody
    • someone
    • spybot
    • sql.
    • subscribe
    • support
    • t-dialin
    • t-ipconnect
    • test@
    • time
    • user@
    • variabel
    • verizon.
    • viren
    • virus
    • whatever@
    • whoever@
    • winrar
    • winzip
    • you@
    • yourname



21. 収集したメールアドレスに対し、自分自身のコピーを電子メールで送信しようとする。この E メールは、英語またはドイツ語のいずれかである可能性があり、また次の特徴を持っています。
    
    ■英語の場合

    差出人:

    詐称されている可能性がある

    件名

    以下のうちいずれか： Your Password Registration Confirmation smtp mail failed Mail delivery failed hi, ive a new mail address You visit illegal websites Your IP was logged Paris Hilton & Nicole Richie

    本文

    以下のうちいずれか： Account and Password Information are attached! Protected message is attached! =====dHSd9SZd;99zZ((EEEA =====dw1W)6ZdzSL91WR ***** Go to:[http://]www.[送信者のドメイン名] ***** Email: postman This is an automatically generated Delivery Status Notification. SMTP_Error [] I'm afraid I wasn't able to deliver your message. This is a permanent error; I've given up. Sorry it didn't work out. The full mail-text and header is attached! hey its me, my old address dont work at time. i dont know why?! in the last days ive got some mails. i' think thaz your mails but im not sure! plz read and check ... cyaaaaaaa Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites.lease answer our questions! The list of questions are attached. Yours faithfully, Steven Allison Department Office Admin Mail Post ===dkX XbW6dxPbXWPdSDd@R2XL9)CW9)SRd?kx@? ===dt4OduXRRL062WR)Wd.2XRPX,dKa,dnSS1d4vvy *** Federal Bureau of Investigation -FBI- *** 935 Pennsylvania Avenue, NW, Room 3220 *** Washington, DC 20535 ++++ Central Intelligence Agency -CIA- ++++ Office of Public Affairs ++++ Washington, D.C. 20505 ++++ phone: (703) 482-0623 ++++ 7:00 a.m. to 5:00 p.m., US Eastern time The Simple Life: View Paris Hilton & Nicole Richie video clips , pictures & more ;) Download is free until Jan, 2006! Please use our Download manager.

    添付ファイル

    次のうちいづれか： reg_pass.zip reg_pass-data.zip mail.zip mail_body.zip mailtext.zip list[ランダムな文字].zip question_list[ランダムな文字].zip downloadm.zip この添付ファイルは、ワームのコピーである次のファイルを含んでいます。 File-packed_dataInfo.exe

    
    ■ドイツ語の場合
    

    差出人:

    詐称されている可能性がある

    件名

    以下のうちいずれか： Ihr Passwort Account Information SMTP Mail gescheitert Mailzustellung wurde unterbrochen Ermittlungsverfahren wurde eingeleitet Sie besitzen Raubkopien RTL: Wer wird Millionaer Sehr geehrter Ebay-Kunde

    本文

    以下のうちいずれか： Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang. *** [http://]www.[送信者のドメイン名] *** E-Mail: PassAdmin ABei uns wurde ein neues Benutzerkonto mit dem Namen beantragt. Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt. Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck. Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen. Vielen Dank, Ihr Ebay-Team Sehr geehrte Dame, sehr geehrter Herr, das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:# (siehe Anhang) Hochachtungsvoll i.A. Juergen Stock --- Bundeskriminalamt BKA --- Referat LS 2 --- 65173 Wiesbaden --- Tel.: +49 (0)611 - 55 - 12331 oder --- Tel.: +49 (0)611 - 55 - 0 Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck. Sie sitzen demnaechst bei Guenther Jauch im Studio! Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. +++ RTL interactive GmbH +++ Geschaeftsfuehrung: Dr. Constantin Lange +++ Am Coloneum 1 +++ 50829 Koeln +++ Fon: +49(0) 221-780 0 oder +++ Fon: +49 (0) 180 5 44 66 99

    添付ファイル

    次のうちいづれか： [文字列 1].zip [文字列 1]-TextInfo.zip Email.zip Email_text.zip [文字列 2].zip Akte[文字列 2].zip [文字列 3].zip [文字列 3]_Text.zip Ebay.zip Ebay-User_RegC.zip ここで、変数 [文字列 1] は、次のいずれかの文字列です。 Service Webmaster Postman Info Hostmaster Postmaster Admin 変数 [文字列 2] は、次のいずれかの文字列です。 Downloads BKA Internet Post Anzeige 変数 [文字列 3] は、次のいずれかの文字列です。 Kandidat WWM Auslosung Casting Gewinn Info RTL-Admin RTL Webmaster RTL-TV

    
    

■ 感染時の対処方法

Norton Internet Securityなどのウイルス対策ソフトをお使いの方は、最新のウイルス定義ファイルをダウンロードし、パソコン全体に対してウイルスチェックをかけて駆除をおこなってください。

また、ウイルス対策ソフトをお持ちでない場合には、シマンテック社から専用の駆除ツールが提供されていますので、そちらをご利用ください。

「W32.Sober.X@mm 駆除ツール （株式会社シマンテック）」
→http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.sober.removal.tool.html

詳しくは、以下の参考情報をご覧ください。

■ 参考情報

ウイルス感染の対処・予防方法については、以下を参考にしてください。

＜ウイルスの詳細＞
ウイルス対策ソフトメーカーによって名称が異なります。情報をご確認の際はご注意ください。

シマンテック「W32.Sober.X@mm」
→http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.sober.x@mm.html
トレンドマイクロ「WORM_SOBER.AG」
→http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.AG
ネットワークアソシエイツ（マカフィー）「W32/Sober@MM!M681」
→http://www.mcafee.com/japan/security/virS.asp?v=W32/Sober@MM!M681

＜ウイルス対策について＞

「もしウイルスに感染してしまったら…」
  → http://azby.fmworld.net/support/security/practice/practice03.html

「Norton Internet Securityでセキュリティ対策！（ウイルス編）」
  → http://azby.fmworld.net/support/security/practice/practice04.html