Win32/Sober.O は、電子メールの添付ファイルで拡散するワームです。添付ファイルは、解凍を防止する為に実行ファイルを改造したUPXで圧縮されており、そのサイズは53,554バイトです。※参考 以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。 %windir% のサブディレクトリである"System"や"System32"を%system% と表記しています。プログラムファイルフォルダを %ProgramFiles% と表記しています。 このワームが実行されると、偽装されたエラーメッセージが表示されます。 メッセージタイトル:"WinZip Self-Extractor" メッセージテキスト:"Error: CRC not complete" このワームは、自分自身のコピーを %windir%\Connection Wizard\Sratus\フォルダに、以下のファイル名で作成します。 services.exe smss.exe csrss.exe このワームは、"service.exe"を実行した際、自身のプロセスにおいて"smss.exe"と"csrss.exe"を実行します。 このワームは、ウイルススキャナなどの他のアプリケーションから開かれるのを防ぐ為に、排他的にロックされます。 以下の3つのファイルが %windir%\Connection Wizard\Sratus\フォルダに作成されます。 packed1.sbr packed2.sbr packed3.sbr これらのファイルには、Base64でエンコードされたZIP圧縮ファイルとして、ワームのコピーが含まれており、このウイルスが送信するメールに添付されます。(添付時、ファイル名は変更されます。) このワームは、感染したコンピュータからメールアドレスを収集し、%windir%\Connection Wizard\Sratus\フォルダに以下のファイル名で格納します。 sacri2.ggg sacri3.ggg voner1.von voner2.von voner3.von fastso.ber sysonce.tst これらは、0バイトのファイルです。 また、%system% フォルダに、以下のファイルを作成します。ただし、これらのファイルには、悪意のある情報は含まれていない為、ワームの一部として検出されません。 adcmmmmq.hjg langeinf.lin nonrunso.ber seppelmx.smx xcvfpokd.tqa コンピュータの再起動時に活動を開始できるように、次のレジストリキーを追加します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run "WinStart" = "%windir%\Connection Wizard\Status\services.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run "_WinStart" = "%windir%\Connection Wizard\Status\services.exe" このワームは、これらのレジストリの存在を監視し、これらのレジストリキーが存在していない時、再作成します。 このワームは、以下のファイルが存在する場合、シマンテックのLiveupdateに必要なすべてのファイルを削除します。 %ProgramFiles%\Symantec\Liveupdate\a*.exe %ProgramFiles%\Symantec\Liveupdate\luc*.exe %ProgramFiles%\Symantec\Liveupdate\ls*.exe %ProgramFiles%\Symantec\Liveupdate\luu*.exe これらのファイルが削除された場合、このワームは自分自身のコピーを%Program Files%\Symantec\Liveupdate\luall.exe として作成します。自分自身のコピーで上書きします。 このワームは、拡散する為に、次の拡張子を持つファイルを検索し、メールアドレスを収集します。 pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx 送信者のメールアドレスは詐称されており、親近者からの電子メールのようにみえる場合があります。 電子メールの送信には、独自のSMTPエンジンを使用します。 このワームによって送信される電子メールのメッセージは、受信者のメールアドレスによって、英語またはドイツ語が選択されます。 英語のメールの例をあげます。 題名: Re:Your Password Re:Registration Confirmation Re:Your email was blocked Re:mailing error Re: {empty} 本文: ok ok ok,,,,, here is it Account and Password Information are attached! Visit: http:/ /www.{ followed by random domain } This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached また、本文の最後に以下のようなランダムに作成された文字列を追加します。 Attachment-Scanner: Status OK AntiVirus: No Virus found Server-AntiVirus: No Virus (Clean) http:/ / www.{ ランダムなドメイン名 } ドイツ語のメールの例をあげます。
題名: Ihr Passwort Mail-Fehler! Ihre E-Mail wurde verweigert Ich bin's, was zum lachen ;) Glueckwunsch: Ihr WM Ticket WM Ticket Verlosung WM-Ticket-Auslosung 本文: Diese E-Mail wurde automatisch erzeugt Mehr Information finden Sie unter http:/ /www.{ followed by random domain } Folgende Fehler sind aufgetreten: Fehler konnte nicht Explicit ermittelt werden Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu beruecksichtigen. Auto ReMailer# Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage. http:/ /www.[random domain] *-* MailTo: PasswordHelp Herzlichen Glueckwunsch, beim Run auf die begehrten Tickets fuer die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. St. Rainer Gellhaus --- Pressesprecher Jens Grittner und Gerd Graus --- FIFA Fussball-Weltmeisterschaft 2006 --- Organisationskomitee Deutschland --- Tel. 069 / 2006 - 2600 --- Jens.Grittner@ok2006.de --- Gerd.Graus@ok2006.de Nun sieh dir das mal an Was ein Ferkel .... ランダムに作成された本文には、以下のようなものもあります。 Mail-Scanner: Es wurde kein Virus festgestellt AntiVirus: Kein Virus gefunden AntiVirus-System: Kein Virus erkannt WebSite: http:/ /www.{ ランダムなドメイン名 } このワームが送信する電子メールには、自分自身のコピーが含まれた 以下のファイルを添付します。 LOL.zip autoemail-text.zip _PassWort-Info.zip Fifa_Info-Text.zip okTicket-info.zip our_secret.zip mail_info.zip error-mail_info.zip account_info.zip account_info-text.zip このZIPファイルは、以下のファイルを含み、サイズは53,728バイトです。 Winzipped-Text_Data.txt {多数のスペース} .pif Winzipped-Text_Data.txt {多数のスペース} .exe 注意: このように多数のスペースを含むファイル名をもつファイルが、ZIPで圧縮されている場合、メールソフトや解凍ツールでは一見すると、"Winzipped-Text_Data.txt"が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。 必ず解凍後のファイルの拡張子も確認し、不用意に実行しないようにしなければなりません。 このワームは、以下の文字列を含むメールアドレスには、送信しません。 @www @from. smtp- @smtp. ftp. .dial. .ppp. anyone @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ mailer-daemon variabel noreply -dav law2 .qmail@ freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux @foo. winzip @example. bellcore. @arin @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock このワームは、以下のサーバに接続を試みます。 microsoft.com bigfoot.com yahoo.com t-online.de google.com hotmail.com このワームは、以下の機能も持ちます。
・マカフィーの駆除ツールを停止します。 ・5月28日に発病します。 ・マイクロソフトのMalicious Software Removal Tool (悪意のあるソフトウェアの削除ツール)を停止します。 NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1086 にて対応しています。
|