| 対応定義ファイル |
定義ファイルバージョン1.656 (20040308)
以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Sober.D
Win32/Sober.D は、電子メールの添付ファイルで拡散するワームです。
このワームが添付されている電子メールには、Microsoftのセキュリティパッチ(修正プログラム)に関する内容が英語またはドイツ語で記載されていますが、実際には偽装されていますので、ご注意ください。
注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを %windir%
と表記しており、インストール時の設定により異なる場合があります。 %windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
このワームが初めて実行されると、感染したコンピュータには、次のメッセージのいずれかが表示されます。
This patch does not need
to be installed on this system.
This patch has been successfully installed. Status:OK
このワームは、%system% ディレクトリに自分自身のコピーを作成します。そのコピーされるファイルの名前は、次の文字列からランダムに組み合わされます。
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
このワームは、コンピュータの再起動時にその活動を開始するために、次のレジストリキーを追加します。
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
%system%\<filename>.exe %1
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
%system%\<filename>.exe
ここで、<filename> は、%system% ディレクトリに自分自身をコピーしたときのファイル名に置き換えられます。また、これらのキーのエントリー名も
%system% ディレクトリに自分自身をコピーしたときのファイル名で作成されます。
このワームは、さらに感染を広げるために使われるメールの本文の内容を含む2つのファイル(temp32x.data
と wintmpx33.dat)を作成します。
メールの本文は、Base64形式でエンコードされています。
このワームは、電子メールを経由して感染を広げるために、感染したコンピュータにある次の拡張子を持つファイルからメールアドレスを取得します。
ini
log
mdb
tbb
abd
adb
pl
rtf
doc
xls
txt
wab
eml
php
asp
shtml
dbx
wab
tbb
abd
adb
pl
取得したメールアドレスは、%system%/mslogs32.dll に保存されます。
このワームは、次の文字列を含むメールアドレスには電子メールを送信しません。
@arin
@avp
@foo.
@iana
@ikarus.
@kaspers
@messagelab
@msn.
@nai.
@ntp.
@panda
@sophos
abuse
admin
antivir
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
google
host.
hotmail
info@
linux
microsoft.
mozilla
ntp-
ntp@
office
password
postmas
redaktion
service
spybot
support
symant
t-online
time
variabel
verizon.
viren
virus
winrar
winzip
このワームが送信するメールの本文は、英語とドイツ語の2種類があります。メールの受取人のドメインが
.de, .at, .ch, .li のいずれかであるか、メールアドレスに @gmx という文字列が含まれる場合は、ドイツ語の本文になります。
差出人(送信元)メールアカウント名は偽装されており、次の文字列のいずれかからランダムに選択されます。
Info
Center
UpDate
News
Help
Studio
Alert
Patch
Security
送信元ドメイン名も偽装されており、次のいずれかになります。
ドイツ語の場合: @microsoft.de または @microsoft.at
英語の場合: @microsoft.com
英語のメールの内容は以下のとおりです。
題名:
Microsoft Alert: Please
Read!
本文:
New MyDoom Virus Variant
Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread
rapidly through the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails
contains the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released
patches.
+++ c2004 Microsoft Corporation.
All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19
ドイツ語のメールの内容は以下のとおりです。
題名:
Microsoft Alarm: Bitte
Lesen!
本文:
Neue Virus-Variante W32.Mydoom
verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit rasend
schnell im Internet.
Wie seine Vorganger verschickt sich der Wurm von infizierten
Windows-Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefahrlichen
Trojaner!
Fuhrende Virenspezialisten
melden bereis ein vermehrtes Aufkommen des W32.Mydoom
alias W32.Novarg.
Bitte daten Sie Ihr System
mit dem Patch ab, um sich vor diesem Schadling zu schutzen!
+++ c2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
メールの添付ファイルはワームを含み、ZIP形式に圧縮されていることもあります。この添付ファイルを実行したり解凍して開かないでください。
添付ファイル名は次のいずれかが使われており、ランダムな数字が連なることもあります。
Patch
MS-Security
MS-UD
UpDate
sys-patch
NOD32アンチウイルスは、更新を行うことなく拡張ヒューリスティックを使用することにより、
Win32/Sober.Dを検出することができます。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.656にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
|
