ウイルス情報

かかりやすさ:中

( Worm.Sober.d )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年3月7日(日)
■感染したらどうなる
  • eメールの添付ファイルを実行して、以下のいずれかのエラーメッセージが表示されたら、このワームによる感染です。
     「This patch has been successfully installed.」
     「This patch does not need to be installed on this system.」
     「Microsoft Windows STOP: 0x80070725 {FatalSystemError} System File [filename].exe Connection lost or blocked by Firewall」
    その後は、パソコン内のメールアドレスを自動で探し出し、知らないうちにウイルスを添付したメールを無断送信します。これらはメールソフトで送るわけではないので、自覚症状はありません。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    使用される拡張子は「.ZIP、.EXE」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

      差出人:<送信者名>@microsoft.<国名>
    送信者名は以下のいずれかです。
    Be Info
     Center
     UpDate
     News
     Help
     Studio
     Alert
     Security
    国名は以下のいずれかです。
     de
     ch
     at
     il

    ドイツ語の場合と、英語の場合があります。以下の文章で始まります

     Microsoft Alarm: Bitte Lessen!
     Microsoft Alert: Please Read!
  • 本文:ドイツ語の場合と、英語の場合があります。
    ドイツ語の場合

     Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
     Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet.
     Wie seine VorgZudem installiert er auf infizierten Systemen einen gef F Bitte
     daten Sie Ihr System mit dem Patch ab, um sich vor diesem Sch++++++
     Microsoft Deutschland GmbH, Konrad-Zuse-Strasse
     1+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
  • 英語の場合

     New MyDoom Virus Variant Detected!A new variant of the W32.Mydoom (W32.Novarg) worm
     spread rapidly through the Internet.Anti-virus vendor Central Command claims
     that 1 in 45 e-mails contains the MyDoom virus.
     The worm also has a backdoor Trojan capability. By default,the Trojan component
     listens on port 13468.Protection:Please download this digitally signed attachment.
     This Update includes the functionality of previously released patches.
     ++++++ One Microsoft Way, Redmond, Washington 98052+++ Restricted Rights at 48 CFR 52.227-19 com ,
  • 添付ファイル:ファイル名は以下のいずれかで、後ろにランダムな数字が付きます。拡張子は「.ZIP」または「.EXE」です。

     sys-patch
     MS-UD
     MS-Securit
     Patch
     Update
     MS-Q
  • 添付ファイルを実行した場合
    感染すると、以下のいずれかのエラーメッセージのウィンドウが表示されます。

     「This patch has been successfully installed.」
     「This patch does not need to be installed on this system.」
     「Microsoft Windows
      STOP: 0x80070725 {FatalSystemError}
      System File [filename].exe
      Connection lost or blocked by Firewall」
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
     CWINDOWS\SYSTEM\(ランダムなファイル名) (Windows 98/Me)
     C\WINNT\SYSTEM32\(ランダムなファイル名) (Windows 2000)
     C\WINDOWS\SYSTEM32\(ランダムなファイル名) (Windows XP)
    レジストリ値を作成します。
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\datasmss32
     <ランダムな文字列> %system%\smss32win.exe
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
     <ランダムな文字列> %system%\smss32win.exe %1
    ファイル名とレジストリ値は、ランダムに以下のいずれかを組み合わせて作成されます。
     sys
     host
     dir
     explorer
     win
     run
     log
     32
     disc
     crypt
     data
     diag
     spool
     service
     smss32
  • 大量メール送信
    このウイルスは、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。

     .log
     .mdb
     .tbb
     .abd
     .adb
     .pl
     .rtf
     .doc
     .xls
     .txt
     .wab
     .eml
     .php
     .asp
     .shtml
     .dbx
     .ttt
     .wab
     .tbb