| 対応定義ファイル |
Win32/Sober.G
定義ファイルバージョン1.761 (20040515)
以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
2 -
感染可能性あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Sober.G
Win32/Sober.G は、電子メールの添付ファイルで拡散するワームです。このワームの圧縮後サイズは約49KBです。 注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
このワームが実行されると、このワームは自分自身のコピーを %system% フォルダに作成し、そのファイル名を次の文字列からランダムに組み合わせたものに変更します。
sys, host, dir, expolrer, win, run, log, 32, disc, crypt,
data, diag, spool, service, smss32
このワームは、コンピュータの再起動時にその活動を開始するために、次のレジストリキーを追加します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
%system%\<filename>.exe %1
ここで、キーエントリー名はランダムであり、<filename>は、%system%
フォルダに自分自身をコピーしたときのファイル名に置き換えられます。
このワームは、電子メールを経由して感染を広げるために、感染したコンピュータにある次の拡張子を持つファイルからメールアドレスを取得します。
abc
abd
abx
adb
ade
adp02
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml
このワームは、次の文字列を含むメールアドレスには電子メールを送信しません。
-dav
.dial.
.kundenserver.
.ppp.
.q
.sul.t-
@from.
@gmetref
@smtp.
@www
announce
anyone
anywhere
clicks.
ftp.
gold-certs
law2
mailer-daemon
me@
members.
msdn.
mustermann@
nothing
office
password
reciver@
redaktion
refer.
secure
smtp-
somebody
someone
sql.
subscribe
support
track.
user@
variabel
whatever@
whoever@
www.
you@
yourname
このワームは次のファイルを %system% フォルダに作成します。これらのファイルには、取得したメールアドレスやその他の情報が格納されます。
bcegfds.lll
zhcarxxi.vvx
cvqaikxt.apk
winzweier.dats
wincheck32.dats
winexpoder.dats
xdatxzap.zxp
datsobex.wwr
このワームが送信するメールの本文は、英語とドイツ語の2種類があります。
メールの受取人のメールアドレスに"gmx."という文字列が含まれているか、メールの受取人のドメインが "
.de"、".ch"、".at"、".or"、".li"のいずれかである場合は、ドイツ語の本文になります。これ以外の場合は、英語の本文になります。
ドイツ語のメールの内容は以下のとおりです。
題名:(次のいずれかになります)
Achtung! gefahrlicher Virus
ESMTP Error
Falsche Mailzustellung
Fehler in Ihrer E-Mail
Hi, sei vorsichtig!
Ihr neuer Account
Ihre E-Mail war fehlerhaft
Information von
Mail_Fehler
Neue Account Daten
Rechnung
Sie haben nicht gezahlt
Ungltige Variablen in ihrer E-Mail
Verbindung wurde getrennt
lol, wat'n los ey?
Shon gehort?
Die Tools!
Dein Zeug's!
Hier fur dich ^^
Bestellungs Bestatigung
Lieferungs-Bestatigung
Ok, hier ist mein
Ich habe mich in dich verliebt!
本文:(このワームは多くの種類の本文を作成することができ、次のいずれかの文章が含まれています。)
### Peters Multi- Media GmbH
--- Mail-To: Service@
-Tarif bei uns gewechselt haben, mRssen wir darauf hinweisen,
dass Ihre Zahlung noch nicht bei uns eingegangen ist.
Achte auf die Infos im Anhang!!!
Alle Informationen bezRglich diesem Tarifes finden Sie
im mitgesendetem Dokument.
Anti-Virus Service: Es konnte kein Virus erkannt werden
Auto-ReMail.System#: [
Benutzer-Daten
Da Du mir dein Foto geschickt hast, hier nun ein Bild von
mir!
Da Sie uns Ihre Personlichen Daten mitgeteilt haben, ist
das Passwort Ihr Geburts-Datum!
Da Sie vor einiger Zeit ihren
Da unsere Datenbank von Hackern befallen wurde, mussten
wir leider eine |nderung bezaglich Ihrer Account Daten
vornehmen.
Das diese E-Mail automatisch generiert wurde, darf aus
Datenschutzrechtlichen GrRnden die vollstandige E-Mail
nur angehangt werden.
Der ist wirklich gefahrlich!
Diese E-Mail wurde automatisch erzeugt.
Diese Information ist Passwort geschutzt.
Ende der Mitteilung
Folgende Fehler sind aufgetreten:
Guten Tag!
Guten Tag,
Haste D.e.i.n.e. Tage oder so?;) Ware mal sehr nett von
dir, wenn Du mal was von dir horen laaaasssssen tutest(tut
tut)!
Hey alles klar? Hier sind die Tools die du haben wolltest!
Hi... ich wollte dir schnell mal mitteilen, dass sich ein
gefahrlicher Virus/Trojaner Uber Internet Seiten verbreitet.
Hochachtungsvoll
Ihre neuen Account Daten finden Sie im beigefugten Dokument.
Im I-Net unter: http://www.
Ja, leider kann ich es nicht nndern aber es ist so.
Kundeninfo
Leider mussen wir darauf hinweisen, das rechtliche Schritte
gegen Sie eingeleitet werden konnen.
Man hort und sieht nikkes mehr von Dir!
Viel Spa- damit ;)
Viel Spass mit unserem Angebot
Vielen Dank fur Ihr Verstandnis.
Weitere Informationen befinden sich im Anhang dieser Mail
Weitere Informationen erhalten Sie unter http://www.
Wenn Du genauso fuhlst, dann schau dir bitte den Anhang
an.
Wenn nicht, dann losche ungeoffnet diese Mail! Es ware
mir sonst zu peinlich .....
Wir bitten dies zu berucksichtigen.
bis spaeeeter mal
英語のメールの内容は以下のとおりです。
題名:(次のいずれかになります)
Confirmation
Delivery failure notice
Details
Faulty mail delivery
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
Mail delivery failed
Mailing Error
Oh God it's
Registration confirmation
Your Password
Your mail account
damn!
hey dude!
hi there
mail delivery status
wazzup!!!
yeah dude :P
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that ?
本文:(次のいずれかの文章が含まれています)
mail is attached.
*** Error: llegal signs in Mail-Routing
*** Mail-Server: ESMTP V
*** Partial message is available!
++++ MailTo: postmaster
++++ User-Service: http://www.
+-+-+ http://www.
- AntiVirus Service
- under: http://www.
Anybody use your accounts and (or) passwords!
Auto-ReMail.System#: [
Error:
For further details see the attachment.
Giving_up_on_
I was surprised, too! :-(??
I've got your mail, but its came on my mail address???
Information about -
Life's a Bitch
MAILBOX NOT FOUND
Protected message is attached.
Remote_host_said:
Smiling Like a Killer
This e-mail was generated automatically.
This_account_has_been_
User-info
Who could suspect something like that? shit
Your password was changed successfully.
_Requested_action_not_taken
_delivery_error
_does_not_like_
_failed_after_I_sent_the_message.
cya!
excuse for my bad english, but I'm a Dutchman
follow the steps in this article.
hey dude!#
hey man! you'll not belive me what i've found on your computer!^^
... thats funny dude!
i'm very very sorry, anybody have sent your mail to my
account address.
i've read this mail ,,, sorry about that
ive found a shity virus on my pc. yo must check your pc!
mailbox_unavailable
nice pic u send me! here is mine!
sorry for my bad english, I am a Swede!
well cya soon
well here is ur stuff! good luck!
yo wazzup :P
メールの添付ファイルはワームを含み、実行可能なファイルかZIPアーカイブ形式に圧縮されています。添付ファイル名は次のいずれかになり、ランダムな数字が連なったり、いくつかの拡張子が付けられることもあります。
Benutzer-Daten
Hilfe
Info
Information
Jokes
Kundeninfo
Service
Tools
User-Info
article
check_this
daten
hallo
more_infos
oh_no
ohyeah
p_message
photo
private
shock
stuff
thatshard
your_docs
yourmail
このワームは次のドイツ語のテキストを含んでおり、Nospam.readme ファイルに書き込まれます。
Hallo liebe Antivirenhersteller und Co.,
Ich bin kein Spammer und ich verkaufe auch nicht meine
eroberten Rechner an Spammer oder sonstiges!
Ich bin auch in keiner Hacker Szene zu gange, nichts dergleichen!
Und mein Alter liegt auch nicht zwischen 14 - 20. Ich bin
einige Jahre uber 30.
Wollte ich nur mal Klargestellt haben!
In diesem Sinne:
Odin alias Anon
---------------
NOD32アンチウイルスは、拡張ヒューリスティック機能によって、更新を行なうことなくWin32/Sober.Gを検出することができます。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.761にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
|
