ウイルス情報

ソバー・P

( Worm.Sober.P )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

W32.Sober.O@mm,W32/Sober-N, WORM_SOBER.S

更新日：

2005年5月2日(月)

■感染したらどうなる

• パソコン内の特定の拡張子からメールアドレスを収集し、勝手にウイルス付きメールを送信します。ネットワークが遅くなったり、パソコンの動作が不安定になったりする場合もあります。

■感染しないためには

• zipファイルが添付された英語やドイツ語のメールが送られてきた場合は要注意です。
  添付ファイルをむやみにクリックしないようにしてください。
  詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  
  差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
  
  件名:以下のいずれかの可能性があります。（英語かドイツ語の可能性があります。）
  Ihr Passwort
  Mail-Fehler!
  Ihre E-Mail wurde verweigert
  Ich bin's, was zum lachen ;)
  Glueckwunsch: Ihr WM Ticket
  WM Ticket Verlosung
  WM-Ticket-Auslosung
  Re:Your Password
  Re:Registration Confirmation
  Re:Your email was blocked
  Re:mailing error
  Re: [blank]
  
  本文:以下の可能性があります。
  eメール配信ステータスやパスワード、チケット情報などを装った本文が、英語やドイツ語で書かれています
  
  添付ファイル：ファイル名は以下のいずれかの可能性があります。
  LOL.zip
  autoemail-text.zip
  _PassWort-Info.zip
  Fifa_Info-Text.zip
  okTicket-info.zip
  our_secret.zip
  mail_info.zip
  error-mail_info.zip
  account_info.zip
  account_info-text.zip
  
  拡張子は「.zip」になります。zipファイルには、「Winzipped-Text_Data.txt（スペース）.pif」 または 「Winzipped-Text_Data.txt（スペース）.exe」が含まれています。
  
• レジストリの値を作成
  ワームに感染すると、ワームをCドライブ（システムルートフォルダ）に、自分自身をコピーし、以下のフォルダを作成します。
  
  %WinDir%\Connection Wizard\Status\csrss.exe
  %WinDir%\Connection Wizard\Status\packed1.sbr
  %WinDir%\Connection Wizard\Status\packed2.sbr
  %WinDir%\Connection Wizard\Status\packed3.sbr
  %WinDir%\Connection Wizard\Status\services.exe
  %WinDir%\Connection Wizard\Status\smss.exe
  %WinDir%\Connection Wizard\Status\sacri1.ggg
  %System%\adcmmmmq.hjg
  %System%\langeinf.lin
  %System%\nonrunso.ber
  %System%\seppelmx.smx
  %System%\xcvfpokd.tqa
  
  ※%WinDir%は、ウィンドウズディレクトリです。
  ※%System%は、システムディレクトリです。
  
  システム起動時にウイルスが実行されるように、レジストリの値を作成します。
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "_WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " WinStart" = C:\WINDOWS\Connection Wizard\Status\services.exe
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子から、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
  abc
  abd
  abx
  adb
  ade
  adp
  adr
  asp
  bak
  as
  cfg
  cgi
  cls
  cms
  csv
  ctl
  dbx
  dhtm
  doc
  dsp
  dsw
  eml
  fdb
  frm
  hlp
  imb
  imh
  imh
  imm
  inbox
  ini
  jsp
  ldb
  ldif
  log
  mbx
  mda
  mdb
  mde
  mdw
  mdx
  mht
  mmf
  msg
  nab
  nch
  nfo
  nsf
  nws
  ods
  oft
  php
  phtm
  pl
  pmr
  pp
  ppt
  pst
  rtf
  shtml
  slk
  sln
  stm
  tbb
  txt
  uin
  vap
  vbs
  vcf
  wab
  wsh
  xhtml
  xls
  xml
  
  以下の文字列を含むアドレスには送信しません。
  -dav
  .dial.
  .kundenserver.
  .ppp.
  .qmail@
  .sul.t-
  @arin
  @avp
  @ca.
  @example.
  @foo.
  @from.
  @gmetref
  @iana
  @ikarus.
  @kaspers
  @messagelab
  @nai.
  @panda
  @smtp.
  @sophos
  @www
  abuse
  announce
  antivir
  anyone
  anywhere
  bellcore.
  bitdefender
  clock
  detection
  domain.
  emsisoft
  ewido.
  free-av
  freeav
  ftp.
  gold-certs
  google
  host.
  icrosoft.
  ipt.aol
  law2
  linux
  mailer-daemon
  mozilla
  mustermann@
  nlpmail01.
  noreply
  nothing
  ntp-
  ntp.
  ntp@
  office
  password
  postmas
  reciver@
  secure
  service
  smtp-
  somebody
  someone
  spybot
  sql.
  subscribe
  support
  t-dialin
  t-ipconnect
  test@
  time
  user@
  variabel
  verizon.
  viren
  virus
  whatever@
  whoever@
  winrar
  winzip
  you@
  yourname