平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2004年04月3日(米国時間)に発見されました「W32.Sober.F@mm」に関しまして、2004年04月04日株式会社シマンテックは報告件数が増加したため、Symantec Security Responseを、この脅威の危険度を2から3に引き上げた情報更新をおこなっております。 このウイルスの危険性の評価が高く引き上げられましたので、早急にウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Sober.F@mm」は、「Sober」の亜種で、大量メール送信型のワームです。感染すると、コンピュータに接続されているドライブからメールアドレスを探し出し、独自のメール送信機能を使用して自分自身を添付したメールを送信し感染の拡大を試みます。また、このワームはWebサイトからファイルをダウンロードし、実行しようとします。感染したコンピュータがインターネットに接続されていない場合、利用可能なあらゆるダイアルアップ接続を試み、エラーメッセージを装ったダイアログボックスを表示します。 　 電子メールの件名および本文の内容は不定ですが、主に独語で書かれています。差出人は詐称されており、独語または英語のファイル名に".pif"または".zip"いずれかの拡張子を持つファイルが添付されています。 　 なお、添付ファイルを実行していなければワームが活動を開始することはありません。

現在報告されている概要は、下記のようになります。 【ウイルスの特徴】 1. 種別： ワーム 2. 亜種： 「Sober」 3. 別名： W32/Sober.f@MM [McAfee], Win32.Sober.F [Computer Associates], W32/Sober-F [Sophos], WORM_SOBER.F [Trend] 4. 差出人：<詐称されています> 以下の独語または英語の差出人、あるいは収集した電子メールアドレスのユーザー名を利用します。 独語： Webmaster/Fehler-Info/Administrator/RobotMailer/AutoMailer/Register/Service/Info/ Passwort/Kundenservice/Liste/Schwarze-Liste/Information 英語： Administrator/Webmaster/Home/Register/Service/Info/admin/Error_Info/RobotMailer/ AutoMailer/User-info/account/webmaster 5. 件名：以下の独語または英語の件名にMessage-ID:<%ランダムな文字列%.qmail>と続きます。 独語： Einzelheiten/Hallo Du!/Hallo!/Hey Du/Hi, Ich bin's/Ich bin es .-)/Verdammt/ Na, berrascht?!/Info/Information/Fehlerhafte Mailzustellung/ Mailzustellung fehlgeschlagen/Fehler/Illegale Zeichen in Mail-Routing/ Verbindung fehlgeschlagen/Ung/Fehler in E-Mail/Besttigung/ Registrierungs-Besttigung/Ihr neues Passwort/Ihr Passwort/ Datenbank-Fehler/Warnung!/Details 英語： Oh my God/Hey/Hi!/Hi, it's me/hey you/damn!/Well, surprised?/Info/Information/ Faulty mail delivery/Mail delivery failed/Mail Error/Illegal signs in Mail-Routing/ Connection failed/Invalid mail sentence length/Mail Delivery failure/Message Error/ mail delivery status/Confirmation Required/Bad Gateway/Warning!/Your document 6. 添付ファイル：以下の独語または英語のファイル名に拡張子".pif"あるいは".zip"がついています。 独語： Oh-Mann/Dokument/KurzText/AntiVirus-Text/Anleitung/Passwoerter.txt/ Text-Inhalt/AMD-System.txt/Benutzer-Daten/Datenbank-Fehler/abuse-liste/ schwarze-listen/Block-Lists 英語： anitv_text/instructions/your_article/your_passwords/messagedoc/corrected_text-file/ attach-message/<random>-attachment/<random>_attach/pass-message/text/ Textdocument 7. 感染すると、ワームは自分自身を%System%\<ランダムなファイル名>.exeとしてコピーします。 * %System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows\System32（Windows XP）です。 * <ランダムなファイル名>は以下の文字列をランダムに組み合わせたものになります。 sys/host/dir/explorer/win/run/log/32/disc/crypt/data/diag/spool/service/smss32 8. 感染すると以下のファイルがWindowsのシステムフォルダ内に作成されます。 zmndpgwf.kxx/zhcarxxi.vvx/bcegfds.lll/syst32win.dll/winsys32xx.zzp/inhex32xx.wrm/ spoofed_recips.ocx 9. 起動時に必ず「W32.Sober.F@mm」が実行されるよう、以下のレジストリキーが追加設定されます。 * 値 ： "<ランダムな値>" = "%System%\<ランダムなファイル名>.exe" 　 場所 ： 上記値が次のレジストリキーに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run\<ランダムなファイル名> * 値 ： "<ランダムな値>" = "%System%\<ランダムなファイル名>.exe %1" 　 場所 ： 上記値が次のレジストリキーに追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunOnce

【対処方法】 Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。 　 本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記 Home ページをご参照ください。

株式会社 シマンテック
	「W32.Sober.F@mm」security response http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

---