キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)


最新ウイルス情報 : Win32/Sober.O
公開日:2005年05月10日
このウイルスに関する危険度 :■■■□□

ウイルス名Win32/Sober.O
対応定義ファイル 1.1086(20050502) 以降
ウイルスの対処方法検出ファイルを削除してください
ウイルス駆除ツール公開中 [ 駆除ツールについてはこちら ]
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中



Win32/Sober.O は、電子メールの添付ファイルで拡散するワームです。添付ファイルは、解凍を防止する為に実行ファイルを改造したUPXで圧縮されており、そのサイズは53,554バイトです。

※参考
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"を%system% と表記しています。プログラムファイルフォルダを %ProgramFiles% と表記しています。

このワームが実行されると、偽装されたエラーメッセージが表示されます。

メッセージタイトル:"WinZip Self-Extractor"
メッセージテキスト:"Error: CRC not complete"

このワームは、自分自身のコピーを %windir%\Connection Wizard\Sratus\フォルダに、以下のファイル名で作成します。

services.exe
smss.exe
csrss.exe

このワームは、"service.exe"を実行した際、自身のプロセスにおいて"smss.exe"と"csrss.exe"を実行します。

このワームは、ウイルススキャナなどの他のアプリケーションから開かれるのを防ぐ為に、排他的にロックされます。

以下の3つのファイルが %windir%\Connection Wizard\Sratus\フォルダに作成されます。

packed1.sbr
packed2.sbr
packed3.sbr

これらのファイルには、Base64でエンコードされたZIP圧縮ファイルとして、ワームのコピーが含まれており、このウイルスが送信するメールに添付されます。(添付時、ファイル名は変更されます。)

このワームは、感染したコンピュータからメールアドレスを収集し、%windir%\Connection Wizard\Sratus\フォルダに以下のファイル名で格納します。

sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
fastso.ber
sysonce.tst

これらは、0バイトのファイルです。

また、%system% フォルダに、以下のファイルを作成します。ただし、これらのファイルには、悪意のある情報は含まれていない為、ワームの一部として検出されません。

adcmmmmq.hjg
langeinf.lin
nonrunso.ber
seppelmx.smx
xcvfpokd.tqa

コンピュータの再起動時に活動を開始できるように、次のレジストリキーを追加します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WinStart" = "%windir%\Connection Wizard\Status\services.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"_WinStart" = "%windir%\Connection Wizard\Status\services.exe"

このワームは、これらのレジストリの存在を監視し、これらのレジストリキーが存在していない時、再作成します。

このワームは、以下のファイルが存在する場合、シマンテックのLiveupdateに必要なすべてのファイルを削除します。

%ProgramFiles%\Symantec\Liveupdate\a*.exe
%ProgramFiles%\Symantec\Liveupdate\luc*.exe
%ProgramFiles%\Symantec\Liveupdate\ls*.exe
%ProgramFiles%\Symantec\Liveupdate\luu*.exe

これらのファイルが削除された場合、このワームは自分自身のコピーを%Program Files%\Symantec\Liveupdate\luall.exe として作成します。自分自身のコピーで上書きします。

このワームは、拡散する為に、次の拡張子を持つファイルを検索し、メールアドレスを収集します。

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm
cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb
vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx
abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

送信者のメールアドレスは詐称されており、親近者からの電子メールのようにみえる場合があります。

電子メールの送信には、独自のSMTPエンジンを使用します。

このワームによって送信される電子メールのメッセージは、受信者のメールアドレスによって、英語またはドイツ語が選択されます。

英語のメールの例をあげます。

題名:
Re:Your Password
Re:Registration Confirmation
Re:Your email was blocked
Re:mailing error
Re: {empty}

本文:
ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http:/ /www.{ followed by random domain }

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached

また、本文の最後に以下のようなランダムに作成された文字列を追加します。

Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.{ ランダムなドメイン名 }


ドイツ語のメールの例をあげます。

題名:
Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurde verweigert
Ich bin's, was zum lachen ;)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung

本文:
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http:/ /www.{ followed by random domain }
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#

Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
http:/ /www.[random domain]
*-* MailTo: PasswordHelp

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fuer die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie
dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Nun sieh dir das mal an
Was ein Ferkel ....

ランダムに作成された本文には、以下のようなものもあります。

Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http:/ /www.{ ランダムなドメイン名 }

このワームが送信する電子メールには、自分自身のコピーが含まれた
以下のファイルを添付します。

LOL.zip
autoemail-text.zip
_PassWort-Info.zip
Fifa_Info-Text.zip
okTicket-info.zip
our_secret.zip
mail_info.zip
error-mail_info.zip
account_info.zip
account_info-text.zip

このZIPファイルは、以下のファイルを含み、サイズは53,728バイトです。

Winzipped-Text_Data.txt {多数のスペース} .pif
Winzipped-Text_Data.txt {多数のスペース} .exe

注意:
このように多数のスペースを含むファイル名をもつファイルが、ZIPで圧縮されている場合、メールソフトや解凍ツールでは一見すると、"Winzipped-Text_Data.txt"が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。
必ず解凍後のファイルの拡張子も確認し、不用意に実行しないようにしなければなりません。

このワームは、以下の文字列を含むメールアドレスには、送信しません。

@www @from. smtp- @smtp. ftp. .dial. .ppp. anyone @gmetref sql. someone
nothing you@ user@ reciver@ somebody secure whatever@ whoever@
anywhere yourname mustermann@ mailer-daemon variabel noreply -dav law2
.qmail@ freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection
ewido. emsisoft linux @foo. winzip @example. bellcore. @arin @iana @avp icrosoft.
@sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

このワームは、以下のサーバに接続を試みます。

microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

このワームは、以下の機能も持ちます。

・マカフィーの駆除ツールを停止します。
・5月28日に発病します。
・マイクロソフトのMalicious Software Removal Tool
(悪意のあるソフトウェアの削除ツール)を停止します。


NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1086 にて対応しています。


このページのトップへ

(C)Canon IT Solutions Inc.