ウイルス情報
かかりやすさ:中
ソバー・J
( Worm.Sober.J )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- W32/Sober.k@MM、W32/Sober-K、WORM_SOBER.J
- 更新日:
- 2005年1月31日(月)
- ■感染したらどうなる
-
- 任意のテキストファイルがメモ帳で開かれ、システムにワームををインストールします。また、ネットワークのトラフィックが発生したり、パソコンの動作が不安定になった場合には要注意です。
- ■感染しないためには
-
- メールに添付された添付ファイルをむやみに実行しないようにしてください。
拡張子は「.zip」です。詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
件名:以下のいずれかの可能性があります。
Warum beantwortest Du meine E-Mails nicht?(ドイツ語)
I've got YOUR email on my account!!(英語)
本文:以下のいずれかの可能性があります。
(ドイツ語)
Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!
Ich hoffe mal, das sie jetzt zu dir durch dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge niedergeschrieben, hatte aber
keine Lust alles nochmal zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit Winzip kleiner gemacht.
Lesen und diesmal auch bescheid geben!!!!
tschau.....
(英語)
Hello,
First, Sorry for my very bad English!
Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a name & adress. I think it's your name and adress.
The sender of this mails is in the text file, too.
bye
添付ファイル:以下のいずれかの可能性があります。
Texte.zip (ドイツ語)
text.zip (英語)
- レジストリの値を作成
添付ファイルを実行すると、システムディレクトリに自分自身をコピーしたり、レジストリの値を作成する際に、以下の文字列を組み合わせて<ランダムな文字列>を作成します。拡張子は「.exe」になります。
sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
以下のファイルをシステムディレクトリに作成します。
DATAMX.DAM(収集した電子メールアドレスを保持しています)
DGSFZIPP.GMX
また、以下のファイルも同じ場所に作成します。
sysmms32.lla
cvqaikxt.apk
Odin-Anon.Ger
datamx.dam
nonrunso.ber
dgsfzipp.gmx
read.me
dgssxy.yoi
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"<ランダムな文字列>" = %System%\<ランダムな文字列>.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"<ランダムな文字列>" = %System%\<ランダムな文字列>.exe
%System%は、システムディレクトリです。
- 大量メール送信
このウイルスは、ハードディスク内を検索して、以下の拡張子を含むファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.pmr
.phtm
.stm
.slk
.inbox
.imb
.csv
.bak
.imh
.xhtml
.imm
.imh
.cms
.nws
.vcf
.ctl
.dhtm
.cgi
.pp
.ppt
.msg
.jsp
.oft
.vbs
.uin
.ldb
.abc
.pst
.cfg
.mdw
.mbx
.mdx
.mda
.adp
.nab
.fdb
.vap
.dsp
.ade
.sln
.dsw
.mde
.frm
.bas
.adr
.cls
.ini
.ldif
.log
.mdb
.xml
.wsh
.tbb
.abx
.abd
.adb
.pl
.rtf
.mmf
.doc
.ods
.nch
.xls
.nsf
.txt
.wab
.eml
.hlp
.mht
.nfo
.php
.asp
.shtml
.dbx
以下の文字列を含むアドレスには送信しません。
ntp-
ntp@
ntp.
info@
test@
office
@www
@from.
support
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
me@
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
password
noreply
- -dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock
- メール送信の際に使用するメールサーバを探すため、メールアドレスのドメインに対し検索を行ないます。その際に以下のドメイン名も検索します。
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com