 |
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。 対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Sober.Z ワームが実行されると、ワームは自分自身を %windir%\PoolData
へ次のファイル名でコピーします。
| |
csrss.exe
services.exe
smss.exe |
また、次のファイルが同じ場所にドロップされる場合があります。
| |
runnor.ssy
spxttx1.xnt
spxttx2.xnt
spxttx3.xnt
WinD.osa
xpsys.ddr |
ワームは、次のファイルの改造をします。
| |
%system%\dllcache\tcpip.sys
%system%\drivers\tcpip.sys
%windir%\ServicePackFiles\i386\tcpip.sys |
ウイルスは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"
WinData" = "%windir%\PoolData\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"
_WinData" = "%windir%\PoolData\services.exe" |
さらに、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\Auto
Update]
"
AUOptions" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]
"
Start" = 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"
Start" = 4
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile]
"
EnableFirewall" = 4 |
ワームは、次のテキスト メッセージが含まれる "WinZip
Self-Extractor" のタイトルのウインドウを表示します。
| |
WinZip Header is missing! |
■電子メール経由の拡散について
ワームは、電子メールでさらに感染を広げるために、ローカル コンピュータ上の次の拡張子のファイルより電子メール
アドレスを捜します。
| |
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml |
データは、次のファイル名で保存されます。
| |
spxttx1.xnt
spxttx2.xnt
spxttx3.xnt |
電子メール アドレスに次の文字列が含まれる場合は無視します。
| |
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ika
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
america.hm
announce
antivir
anyon
anywhere
arcor.de
asia
australiamail
Avast
bellcore.
bitdefender
bluewin.ch
cia.gov
clock
detection
domain.
e
e-mail.dk
emsisoft
ewido.
F-Secure
free-av
freeav
ftp.
gmail
gold-certs
google
google
heise.de
host.
iana-
iana@
icqmail
icrosoft.
ipt.aol
law2
linux
lycos
mailer-daemon
mozilla
mustermann@
newyork
nlpmail01.
noreply
nothing
ntp-
p-
reciver@
rus.
secure
smt
somebody
someone
sophos
spybot
sql.
subscribe
support
swissinfo.org
t-dialin
t-ipconnect
test@
time
trendMicro
user@
variabel
verizon.
viren
virus
webmails
whatever@
whoever@
winrar
winzip
you@
yourname
zonnet.nl |
電子メールの件名(Subject)は、次のうちのいずれかです。
| |
Error in your eMail
Fehlerhafte Mailzustellung
Ihr Account wurde eingerichtet!
Ihr Passwort wurde geaendert!
Your Updated Password! |
電子メールの本文(Body)は、組み合わせでそのつど作られます。次の内容は一例です。
| |
Ihr Passwort wurde erfolgreich
geaendert.
Ihre neuen Account-Daten und Passwort befinden
sich gesichert im Anhang!
**-** Web: http://www.%variable%
**-** E-Mail: %variable%
Diese Nachricht wurde Automatisch generiert.
- Ihre EMail konnte nicht empfangen oder
gesendet werden.
- Mail-Text sowie Mail-Header befinden
sich im Anhang.
*** auto mailerdaemon XPath 7
*** (c) by %variable%
Danke das Sie sich fuer uns entschieden
haben.
Um ihren neuen Account zu aktivieren, folgen
sie der kurzen Anleitung im Anhang. Es
sind nur 2 Schritte noetig!
***** Web: http://www.%variable%
***** E-Mail: %variable%
You notified us that you have forgotten
your password.
We have changed your password to a random
sequence of letters and digits!
For more detailed information, see the
attached password file ...
**** Web: http://www.%variable%
**** eMail: %variable%
Your eMail has occurred an unknown error
on our Server.
Please read your mail and check the text.
The full email is attached!
*** auto mailerdaemon X.Path 4.2
*** (c) by %variable% |
添付ファイルには、ワームが実行可能な自己解凍型ZIP形式で圧縮されています。添付ファイル名は次のうちのいずれかです。
| |
Anleitung
Mail_Data
Passw_Data |
また、Winzipped_Data-Files.exe は内部で実行可能ファイルとして存在します。
次のリストから送信アドレスを作成します。
| |
Admin
Hostmaster
Postmaster
Webmaster
aol.de
gmx.de
hotmail.com
microsoft.com
web.de |
■その他の情報
ワームは、次のWindows アプリケーションを終了させます。
| |
asw*.tmp
aswclnr
avwin
brfix
fxsbr
gcas
gcip
giantanti
guardgui.
hijack
inetupd
killb
microsoftanti
mrt.exe
nod32
nod32kui
sober
stinger
stng |
ワームは、次のテキスト メッセージを含む "Anti-Virus" のタイトルのウインドウを表示します。
| |
No Viruses, Trojans or Spyware
found!
Status: OK |
|
