ウイルス情報

かかりやすさ:中

( Worm.Sober.s )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
Worm.Sober.r
更新日:
2005年10月5日(水)
■感染したらどうなる
  • パソコン内からメールアドレスを収集し、メールソフトを使用せずに、ウイルス添付メールを勝手に大量送信します。パソコンの動作が不安定になった場合には要注意です。
■感染しないためには
  • メールに添付された添付ファイルをむやみに実行しないようにしてください。
    拡張子は「.zip」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    メールの件名、本文は、ドイツ語か英語の可能性があります。

    (ドイツ語の場合)
    件名:Fwd: Klassentreffen

    本文:
    ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehngt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurck!!

    wenn ich aber wieder mal die falsche person erwischt habe, dann sorry fr die belstigung ;)

    liebe gr
    Rita,

    (英語の場合)
    件名:Your new Password

    本文:
    Your password was successfully changed! Please see the attached file for detailed information.

    添付ファイル:以下のいずれかです。
    KlassenFoto.zip
    pword_change.zip

    zipファイルには、以下のファイルが梱包されています。
    PW_Klass.Pic.packed-bitmap.exe
  • レジストリの値を作成
    添付ファイルを実行すると、ウィンドウズディレクトリに「services.exe」として自分自身をコピーし、レジストリの値を作成します。

    以下のファイルを同じ場所に作成します。
    C:\WINDOWS\ConnectionStatus\netslot.nst
    C:\WINDOWS\ConnectionStatus\services.exe
    C:\WINDOWS\ConnectionStatus\socket.dli

    また、0バイトのファイルを同じ場所に作成します。
    C:\WINDOWS\system32\bbvmwxxf.hml
    C:\WINDOWS\system32\gdfjgthv.cvq
    C:\WINDOWS\system32\langeinf.lin
    C:\WINDOWS\system32\nonrunso.ber
    C:\WINDOWS\system32\rubezahl.rub
    C:\WINDOWS\system32\seppelmx.smx

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    "WinINet" =C:\WINDOWS\ConnectionStatus\services.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    "_WinINet"=C:\WINDOWS\ConnectionStatus\services.exe
  • 大量メール送信
    ハードディスク内を検索して、以下の拡張子を含むファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    abc
    abd
    abx
    adb
    ade
    adp
    adr
    aero
    asp
    bak
    bas
    cfg
    cgi
    cls
    cms
    com
    coop
    csv
    ctl
    dbx
    dhtm
    doc
    dsp
    dsw
    edu
    eml
    fdb
    frm
    gov
    hlp
    imb
    imh
    imh
    imm
    inbox
    info
    ini
    int
    jsp
    ldb
    ldif
    log
    mbx
    mda
    mdb
    mde
    mdw
    mdx
    mht
    mmf
    msg
    museum
    nab
    name
    nch
    net
    nfo
    nsf
    nws
    ods
    oft
    org
    php
    phtm
    pl
    pmr
    pp
    ppt
    pro
    pst
    rtf
    shtml
    slk
    sln
    stm
    tbb
    txt
    uin
    vap
    vbs
    vcf
    wab
    wsh
    xhtml
    xls
    xml