Win32/Sober.I は、電子メールの添付ファイルで拡散するワームです。添付ファイルは圧縮されており、そのサイズは約55KBです。実際のワーム本体のサイズは45KBです。注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。 このワームは、実行されると、次の文字列をランダムに含むファイル名を使用して、%System% フォルダに自身のコピーを2つ作成します。このファイルの拡張子は"exe"です。 sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32 つまり、%system%\<ファイル名1>.exe と %system%\<ファイル名2>.exe %srun% が作成され、これを値に持つキーを次のレジストリキーに追加し、システムの再起動時に活動を開始できるようにします。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Win32/Sober.I は、感染を広げるために、感染したコンピュータのローカルドライブ内を検索し、次の拡張子を持つファイルから、電子メールアドレスを取得します。 pmr
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx ただし、次の文字列を含むメールアドレスには、送信しません。 ntp-
ntp@
office
@www
@from.
support
redaktion
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
msdn.
me@
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
password
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft.
@spiegel.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock 次のファイルが%system% フォルダに作成されます。
これらのファイルには、ワームが取得したメールアドレスなど、拡散する為の情報が保存されています。 winsend32.dal
winroot64.dal
cvqaikxt.apk
Odin-Anon.Ger
sysmms32.lla
dgssxy.yoi
zippedsr.piz
nonzipsr.noz
winexerun.dal
winmprot.dal
clonzips.ssc
clsobern.isc
sb2run.dii Win32/Sober.I によって送信された電子メールは、英語またはドイツ語で記述されています。受信者のメールアドレスに "gmx" が含まれる場合、またはドメインに ".de"、".ch"、".at"、".li" が含まれる場合は、ドイツ語のメールが送られます。これ以外の場合は、英語のメールが送られます。 ドイツ語メールの場合、題名は次のいずれかになります。 Info von
Mailzustellung fehlgeschlagen
Fehler in E-Mail
Ihre E-Mail wurde verweigert
Mailer Error
Ung?ltige Zeichen in Ihrer E-Mail
Mail- Verbindung wurde abgebrochen
Mailer-Fehler
Betr.- Ihr Account
Ihre neuen Account-Daten
Auftragsbest?tigung
Lieferungs-Bescheid ドイツ語メールの本文例をあげます。 Guten Tag, da unsere Datenbanken leider durch einen Programm Fehler zerstort wurden, mussten wir leider eine Anderung bezuglich Ihrer Nutzungs- Daten vornehmen. Ihre geanderten Account Daten, befinden Sie im beigefugten Dokument. Vielen Dank fur Ihr Verstandnis. ------ <WIMMEROTH-ASSEKURANZ> GmbH & Co. KG 英語メールの場合、題名は次のいずれかになります。 Details
Oh God it's
Registration confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system 電子メールには、実行可能なファイルかZIP形式に圧縮されたファイルが添付されています。ファイル名は様々な文字列から作成されており、二重拡張子の場合もあります。 NOD32アンチウイルスは、アドバンスドヒューリスティック機能によって、ウイルス定義ファイルの更新を行なうことなくWin32/Sober.I を検出することができます。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。 NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.927にて対応しています。 NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。 | 
