※参考

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

このドロッパーのサイズはおよそ136キロバイトあり、UPXで圧縮されています。
このファイルが実行されると、%windir%フォルダに"bbgdfvdd.exe"を作成し、ドロッパーは実行後すぐに削除されます。

ドロッパーは、"Packed Word Data not present"という偽のメッセージを表示します。

このワームのメインコンポーネントは、UPXで圧縮されており、そのサイズはおよそ127キロバイトです。
このファイルが実行されると、自分自身のコピーを"%windir%\ConnectionStatus\Microsoft\"に
" services.exe"というファイル名で作成します。

また、%system% に空のファイルを次の名前で作成します。

bbvmwxxf.hml
gdfjgthv.cvq
langeinf.lin
nonrunso.ber
rubezahl.rub
runstop.rst

このワームは、Windowsの再起動時に実行されるように、次のレジストリに"services.exe"へのパスを追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ WinCheck
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\_WinCheck

このワームは、次の拡張子を持つファイルから、メールアドレスを収集します。

abc abd abx adb ade adp adr asp bak bas cfg cgi cls cms csv ctl dhtm doc
dsp dsw eml fdb frm hlp imb imh imh imm inbox ini jsp ldb ldif log mbx
mda mdb mde mdw mdx mht mmf msg nab nch nfo nsf nws ods oft php phtm pl
pmr pp ppt pst rtf shtm slk sln stm tbb txt uin vap vbs vcf wab wsh xhtml xls xml

そして、収集したメールアドレスは、"%windir%\ConnectionStatus\Microsoft" フォルダに"concon.www"というファイルで格納します。

このワームによって送信される電子メールのメッセージは、受信者のメールアドレスによって、英語またはドイツ語が選択されます。

英語のメールの例をあげます。

題名：
Registration Confirmation

本文：
Thanks for your registration. Your data are saved in the zipped Word.doc file!

添付ファイル名：
Registration.zip

ドイツ語のメールの例をあげます。

題名：
Haben Sie diese EMail verschickt?

本文：
Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu erstatten!
Sie spinnen ja wohl! Die E-Mail hat meine Tochter gelesen!!!!!!
Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurueckgeschickt.
Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!!

添付ファイル名：
Word-Text.zip

ワームが送信するメールの添付ファイルには、"Word-Text_packedList.exe"が Zip圧縮されています。

NOD32アンチウイルスは、アドバンスドヒューリスティック機能によって、ウイルス定義ファイルの更新を行なうことなくWin32/Sober.X を検出することができます。

ウイルス定義ファイルでの対応は、マスメーリング活動を行う実行ファイルには1.1285 にて、ドロッパーには、1.1286 にて対応しています。