Win32/Sober.N は、電子メールの添付ファイルで拡散するワームです。添付ファイルは、解凍を防止する為に実行ファイルを改造したUPXで圧縮されており、そのサイズは73,541バイトです。※参考 以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。 %windir% のサブディレクトリである"System"や"System32"を%system% と表記しています。 このワームが実行されると、Windowsのメモ帳が開き、次のテキストが表示されます。 UnPack failed この後には、ランダムなバイナリ文字列が続きます。 このワームは、自分自身のコピーを %windir%\msagent\ ディレクトリに"services.exe"というファイル名で作成します。 また、同じディレクトリに2つのファイル"zipped.wrm"と"maddys.xyz"を作成します。 "zipped.wrm"は、ワームがMIMEエンコードされたコピーを含み、"maddys.xyz"は、感染したコンピュータから収集した電子メールアドレスを保存します。 %system% ディレクトリに、次のファイルを作成します。ただし、これらのファイルには、悪意のある情報は含まれていない為、ワームの一部として検出されません。 adcmmmmq.hjg langeinf.lin nonrunso.ber xcvfpokd.tqa コンピュータの再起動時に活動を開始できるように、次のレジストリキーを追加します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run "SystemCheck" = "%windir%\Config\system\services.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run "SystemCheck" = "%windir%\Config\system\services.exe" このワームは、拡散する為に、次の拡張子を持つファイルを検索し、電子メールアドレスを収集します。 pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx 送信者のメールアドレスは詐称されており、親近者からの電子メールのようにみえる場合があります。
このワームは、電子メールの送信には、独自のSMTPエンジンを使用します。 このワームによって送信される電子メールのメッセージは、受信者のメールアドレスによって、英語またはドイツ語が選択されます。 英語のメールの例をあげます。 題名: I've_got your EMail on my_account! 本文: Hello, First, Very Sorry for my bad English. Someone is sending your private e-mails on my address. It's probably an e-mail provider error! At time, I've got over 10 mails on my account, but the recipient are you. I have copied all the mail text in the windows text-editor for you & zipped then. Make sure, that this mails don't come in my mail-box again. bye 添付ファイル名: your_text.zip ドイツ語のメールの例をあげます。 題名: FwD: Ich bin's nochmal 本文: Verdammt,,,, ich hatte vergessen Dir meinen Text mitzuschicken. Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren! Ich melde mich. Bis bald ;) E-mail Attachments 添付ファイル名: Private-Texte.zip 添付されるZIPファイルには、ワームの実行ファイル"mail.document.Datex-packed.exe"が含まれています。 このワームは、以下の文字列を含むメールアドレスには送信しません。 @www @from. smtp- @smtp. ftp. .dial. .ppp. anyone @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ mailer-daemon variabel noreply -dav law2 .qmail@ freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux @foo. winzip @example. bellcore. @arin @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock このワームは、以下のサーバに接続を試みます。 ntp3.fau.de timelord.ureqina.ca time-server.ndo.com ntp-sop.inria.fr ntp.pads.ufrj.br time-a.timefreq.bldrdoc.gov このワームは、マイクロソフトのMalicious Software Removal Tool(悪意のあるソフトウェアの削除ツール)などのセキュリティ対策ツールの活動を停止します。このワームは、感染を広げる為に、"TCPIP.SYS"を修正します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1069 にて対応しています。 |