ウイルス情報

かかりやすさ:中

( Worm.Sober.L )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2005年3月7日(月)
■感染したらどうなる
  • パソコン内の特定の拡張子からメールアドレスを収集し、勝手にウイルス付きメールを送信します。任意のテキストファイルがメモ帳で開かれた場合は要注意です。また、ネットワークのトラフィックが発生したり、パソコンの動作が不安定になる場合もあります。
■感染しないためには
  • 身に覚えのないメールの添付ファイルをむやみにクリックしないようにしてください。
    詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    件名:以下の可能性があります。
    Ich habe Ihre E-Mail bekommen!
    Your Password & Account number

    本文:以下の可能性があります。
    -----------------------------------------------------------------
    Hallo,
    jemand schickt ihre privaten Mails auf meinem Account.
    Ich schaetze mal, das es ein Fehler vom Provider ist.
    Insgesamt waren es jetzt schon 6 Mails!
    Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
    Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese
    Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.

    Gruss
    -----------------------------------------------------------------
    i've got an admin mail with a Password and Account info!
    but the mail recipient are you! it's probably an esmtp error, i think.
    i've copied the full mail text in the Windows text-editor & zipped.
    ok, cya...
    -----------------------------------------------------------------

    添付ファイル:ファイル名は以下のいずれかの可能性があります。
    MailTexte
    acc_text

    拡張子は「.zip」になります。zipファイルには、「Mail_text-data.txt.pif」が含まれています。
  • レジストリの値を作成
    添付ファイルを実行すると、ワームをウィンドウズディレクトリに自分自身を「smss.exe」としてインストールされ、以下のレジストリの値を作成します。

    また、以下にファイルを作成します。
    %System%\nonrunso.ber
    %System%\read.me
    %System%\stopruns.zhz
    %System%\xcvfpokd.tqa
    %System%\msagent\system\emdata.mmx
    %System%\msagent\system\zipzip.zab

    「read.me」には以下の文字列が含まれています。
    ----------------
    test test test

    In diesem Sinne:
    Odin alias Anon
    ----------------

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    _Services.dll = "%WinDir%\msagent\system\smss.exe"

    ※%System%は、システムディレクトリです。
    ※%WinDir%は、ウィンドウズディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子から、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    abc
    abd
    abx
    adb
    ade
    adp
    adr
    asp
    bak
    bas
    cfg
    cgi
    cls
    cms
    csv
    ctl
    dbx
    dhtm
    doc
    dsp
    dsw
    eml
    fdb
    frm
    hlp
    imb
    imh
    imm
    inbox
    ini
    jsp
    ldb
    ldif
    log
    mbx
    mda
    mdb
    mde
    mdw
    mdx
    mht
    mmf
    msg
    nab
    nch
    nfo
    nsf
    nws
    ods
    oft
    php
    phtm
    pl
    pmr
    pp
    ppt
    pst
    rtf
    shtml
    slk
    sln
    stm
    tbb
    txt
    uin
    vap
    vbs
    vcf
    wab
    wsh
    xhtml
    xls
    xml

    以下の文字列を含むアドレスには送信しません。
    -dav
    .dial.
    .kundenserver.
    .ppp.
    .qmail@
    .sul.t-
    @arin
    @avp
    @ca.
    @example.
    @foo.
    @from.
    @gmetref
    @iana
    @ikarus.
    @kaspers
    @messagelab
    @nai.
    @panda
    @smtp.
    @sophos
    @www
    abuse
    announce
    antivir
    anyone
    anywhere
    bellcore.
    bitdefender
    clock
    detection
    domain.
    emsisoft
    ewido.
    free-av
    freeav
    ftp.
    gold-certs
    google
    host.
    icrosoft.
    ipt.aol
    law2
    linux
    mailer-daemon
    mozilla
    mustermann@
    nlpmail01.
    noreply
    nothing
    ntp-
    ntp.
    ntp@
    office
    password
    postmas
    reciver@
    secure
    service
    smtp-
    somebody
    someone
    spybot
    sql.
    subscribe
    support
    t-dialin
    t-ipconnect
    test@
    time
    user@
    variabel
    verizon.
    viren
    virus
    whatever@
    whoever@
    winrar
    winzip
    you@
    yourname
  • プロセスの終了
    以下の文字列を含むプロセスを強制終了させます。
    gcas
    gcip
    giantanti
    hijackthis
    stinger