| 対応定義ファイル |
定義ファイルバージョン 1.542 (20031024)以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Sober.A
Win32/Sober.Aは、電子メールの添付ファイルとして拡散するワームです。
圧縮されたワームのサイズはおよそ63KBです。解凍するとサイズは、237KBになります。
このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。
Win32/Sober.Aは、以下のリストからランダムに選ばれた表題を持つ電子メールで送信されます。
Neuer Virus im Umlauf!
Back At The Funny Farm
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehört!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
& Uuml;berraschung>Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise,I've become your mail! Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)
I permanently get Spam-Mails from you and inside is a virus!!
You should remove these thing
メールの本文は、ドイツ語や英語であらかじめ定義された多数のテキストから選択されて
記述されます。これらの文字列はワームの本体に組み込まれています。
電子メールに添付されるワームのコピーは以下のファイル名になります。
AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
Bild.scr
Mausi.scr
NackiDei.com
Anti-Sob.bat
Liebe.com
security.pif
Funny.scr
Odin_Worm.exe
check-patch.bat
anti_virusdoc.pif
Hengst.pif
perversion.scr
pic.scr
CM-recover.com
playme.exe
robot_mailer.pif
private.exe
anti-trojan.exe
little-scr.scr
love.com
nacked.com
schnitzel.exe
anti-Sob.bat
AntiTrojan.exe
NAV.pif
funny.scr
注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
Win32/Sober.Aは、電子メールの添付ファイルが実行された後に活動を開始します。
そのとき、"File not Complete!"という偽のエラーメッセージが表示されます。
このワームは、%system% ディレクトリに自分自身のコピーを様々な名前で作成します。
例:artiv.exe, sy-?O?T.exe, similare.exe
作成されたファイルのサイズは、63,488バイトです。
このワームは、システムレジストリキー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
の syspath という項目に、%system% に作成したファイル名を指定することにより、 オペレーティングシステムの再起動後に自分自身のコピーの活動を行います。
Win32/Sober.Aは、電子メールを経由して感染を広めるために、ハードディスク上のファイルからメールアドレスを取得し、%system%
のサブディレクトリ "Macromed\Help" にある Media.dll
ファイル内に保存します。
NOD32アンチウイルスは、更新を行うことなく拡張ヒューリスティックを使用することにより、
Win32/Sober.Aを検出することができます。ウイルス定義ファイルは1.542にて対応しています。 |
