Win32/Sober.L は、電子メールの添付ファイルで拡散するワームです。添付ファイルはUPXで圧縮されており、そのサイズは約44KBです。※以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"を %system% と表記しています。 このワームが実行されると、Windowsのメモ帳が開き、次のテキストが表示されます。 Mail-Text:
Unzip failed この後には、ランダムなバイナリ文字列が続きます。 そして、自分自身のコピーを %windir%\msagent\ ディレクトリに"smss.exe"という
ファイル名で作成します。
また、同じディレクトリに2つのファイル"zipzip.zap"と"emdata.mmx"を作成します。
"zipzip.zap"は、ワームがMIMEエンコードされたコピーを含み、"emdata.mmx"は、感染したコンピュータから収集した電子メールアドレスを保存します。 %system% ディレクトリに、次のファイルを作成します。 norunso.ber
xcvfpok.tqa
stopruns.zhz
read.me コンピュータの再起動時に活動を開始できるように、次のレジストリキーを追加します。 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"services.dll" = "%windir%\msagent\smss.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"services.dll" = "%windir%\msagent\smss.exe" このワームは、これらのレジストリの値を監視し、これらのレジストリキーが削除された時、削除されたレジストリキーを復元させる事ができます。 またこのワームは、ウイルススキャナなどの他のアプリケーションから開かれるのを防ぐ為に、排他的なアクセス方法で自身を開きます。 このワームは、HijackThis、McAfee、Microsoft の Malicious Software Removal Tool(悪意のあるソフトウェアの削除ツール)などのセキュリティ対策ツールの活動を停止します。このワームは、拡散する為に、次の拡張子を持つファイルを検索し、
電子メールアドレスを収集します。 pmr phtm stm slk inbox imb csv bak imh xhtml
imm imh cms nws vcf ctl dhtm cgi pp ppt msg
jsp oft vbs uin ldb abc pst cfg mdw mbx mdx
mda adp nab fdb vap dsp ade sln dsw mde frm
bas adr cls ini ldif log mdb xml wsh tbb ab
x abd adb pl rtf mmf doc ods nch xls nsf txt
wab eml hlp mht nfo php asp shtml dbx このワームによって送信される電子メールのメッセージは、英語またはドイツ語で記述されています。受信者のメールアドレスによって、言語が選択されます。 英語のメールの例をあげます。 題名:
Your Password & Account number 本文:
hi, i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think. i've copied the full mail text in the Windows text-editor & zipped. ok, cya..
NOD32アンチウイルスは、アドバンスドヒューリスティック機能によって、ウイルス定義ファイルの更新を行なうことなくWin32/Sober.L を検出することができます。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.1021にて対応しています。 NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。 | 
