キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 :Win32/Sober.Y
公開日:2005年11月25日
このウイルスに関する危険度 :■■■□□

ウイルス名 Win32/Sober.Y
別名 : W32/Sober@MM!M681,W32.Sober.X@mm!zip
対応定義ファイル 1.1302(20051124) 以降
ウイルスの対処方法 検出ファイルを削除してください
ウイルス駆除ツール 公開中 [ 駆除ツールについてはこちら ]
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


Win32/Sober.Y は、電子メールの添付ファイルで拡散するワームです。添付ファイルは解凍を防止する為に実行ファイルを改造したUPXで圧縮されており、そのサイズは55,390バイトです。

※参考

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを
%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

このファイルが実行されると、"Error in packed Header"という偽のエラーメッセージを表示します。その後、自分自身のコピーを"%windir%\WinSecurity\"フォルダに次のファイル名で作成します。

services.exe
smss.exe
csrss.exe

"WinSecurity"フォルダが存在しない場合は、作成します。

このワームは、"services.exe"が実行されると、自身のプロセス"services.exe"をロックし、他の2つのワーム"smss.exe"および"csrss.exe"を実行します。

このワームは、メモリ上にアクティブな状態で存在し、アンチウイルスプログラムから開かれるのを防ぐ為に、排他的にロックされます。その結果、このワームの実行ファイルがアンチウイルスプログラムで検出できなくなります。このワームは、MIMEでエンコードした自分自身のコピーのZipファイル(75,996バイト)を、同じフォルダ内に次のファイル名で作成します。

socket1.ifo
socket2.ifo
socket3.ifo

そして、送信される電子メールに、このコピーを添付します。例えば、"services.exe"は"socket1.ifo"を、"csrss.exe"は"socket3.ifo"を添付します。

次のファイルには、収集した電子メールアドレスを保管します。

mssock1.dli
mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory

また、次のファイルを作成する場合があります。

Starter.run
sysonce.tst
nichtnem.nop

%system% フォルダに、次のファイルを作成します。

nonrunso.ber
langeinf.lin
filesms.fms
runstop.rst
rubezahl.rub
bbvmwxxf.hml

これらは0バイトのファイルで、悪意のある情報は含まれていない為、ワームの一部として検出されません。前のバージョンのワームの動作の停止を試みるファイルです。

コンピュータの再起動時に活動を開始できるように、次のレジストリキーを追加します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
" {Space}Windows" = "%WINDOWS%\WinSecurity\services.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" _Windows" = "WINDOWS%\WinSecurity\services.exe"

このワームは、これらのレジストリの存在を監視し、これらのレジストリキーが存在していない時、再作成します。このワームは、次の拡張子を持つファイルを検索し、メールアドレスを収集します。

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi
pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp
ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf
doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

送信者のメールアドレスは詐称されており、親近者からの電子メールのようにみえる場合があります。
電子メールの送信には、独自のSMTPエンジンを使用します。

このワームによって送信される電子メールのメッセージは、受信者のメールアドレスのドメインによって、英語またはドイツ語が選択されます。

英語のメールの例をあげます。

題名:
Your Password
Registration Confirmation
smtp mail failed
Mail delivery failed
hi, ive a new mail address
You visit illegal websites
Your IP was logged
Paris Hilton & Nicole Richie

本文:

Account and Password Information are attached!

This is an automatically generated Delivery Status Notification.
SMTP_Error
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached!

hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa

Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.lease answer our questions!
The list of questions are attached.

Yours faithfully,
Steven Allison
Department Office Admin Mail Post
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time

The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.

添付ファイル:

reg_pass.zip
reg_pass-data.zip
mail.zip
mail_body.zip
mailtext.zip
list{random}.zip
question_list{random}.zip
downloadm.zi


ドイツ語のメールの例をあげます。

題名:

Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde


本文:

Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** {http://}www.{Sender Domain}
*** E-Mail: PassAdmin

Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.

Vielen Dank,
Ihr Ebay-Team


Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP
erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#
(siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 ? 0

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99


添付ファイル:

{TXT1}.zip
{TXT1}-TextInfo.zip
Email.zip
Email_text.zip
{TXT2}.zip
Akte{TXT2}.zip
{TXT3}.zip
{TXT3}_Text.zip
Ebay.zip
Ebay-User_RegC.zip

"TXT1"は、次のいずれかです。

Service
Webmaster
Postman
Info
Hostmaster
Postmaster
Admin

"TXT2"は、次のいずれかです。

Downloads
BKA
Internet
Post
Anzeige
BKA.Bund

"TXT3"は、次のいずれかです。

Kandidat
WWM
Auslosung
Casting
Gewinn
Info
RTL-Admin
RTL
Webmaster
RTL-TV

このワームは、以下の文字列を含むメールアドレスには、送信しません。

-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

これらの文字列が含まれたメールアドレスは収集しません。

このワームの一部は暗号化されており、駆除ツールのようないくつかのセキュリティ関連プログラムの停止を試みます。

Microsoftの"悪意のあるソフトウェアの削除ツール"である"MRT.EXE"を停止します。また、SymantecのLiveUpdateに関する実行ファイルを削除し、updateファイルとして自分自身をコピーし、LiveUpdateが実行される度にこのワームが実行されるようにします。

このワームは、インターネットへの接続が可能かどうかを確認し、正確な日付時刻を得るために、次のサーバへの接続を試みます。

Rolex.PeachNet.edu
clock.psu.edu
cuckoo.nevada.edu
gandalf.theunixman.com
nist1.datum.com
ntp-1.ece.cmu.edu
ntp-2.ece.cmu.edu
ntp-sop.inria.fr
ntp.lth.se
ntp.massayonet.com.br
ntp.metas.ch
ntp.pads.ufrj.br
ntp0.cornell.edu
ntp1.arnes.si
ntp1.theremailer.net
ntp2.ien.it
ntp2b.mcc.ac.uk
ntp2c.mcc.ac.uk
ntp3.fau.de
ntps1-1.uni-erlangen.de
ptbtime2.ptb.de
rolex.usg.edu
st.ntp.carnet.hr
sundial.columbia.edu
swisstime.ethz.ch
tick.greyware.com
time-a.timefreq.bldrdoc.gov
time-ext.missouri.edu
time.chu.nrc.ca
time.ien.it
time.kfki.hu
time.mit.edu
time.nist.gov
time.nrc.ca
time.windows.com
time.xmission.com
timelord.uregina.ca
tock.keso.fi
utcnist.colorado.edu
vega.cbk.poznan.pl
time.windows.com

このワームは、感染させたコンピュータが WindowsXP(SP2)またはWindows2003Serverの場合、TCPIT.SYS ドライバーのパッチ適用を試みます。

%System%\drivers\TCPIP.SYS
%System%\dllcache\TCPIP.SYS
%Windir%\ServicePackFiles\i386\TCPIP.SYS

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.1302 にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。

このページのトップへ

(C)Canon IT Solutions Inc.