| 1. |
種別: ワーム |
| 2. |
亜種: 「Sober」 |
| 3. |
別名:
Win32.Sober.I [Computer Associates], Sober.I [F-Secure], I-Worm.Sober.i
[Kaspersky],
W32/Sober.j@MM [McAfee], W32/Sober.I@mm [Norman], W32/Sober.I.worm
[Panda],
W32/Sober-I [Sophos], WORM_SOBER.I [Trend] |
| 4. |
差出人:詐称されています。 |
| 5. |
件名:複数の候補からランダムに選択されたものになります。 |
| 6. |
本文:複数の候補からランダムに選択された英語または独語の文章になります。 |
| 7. |
添付ファイル名:以下の候補の中からランダムに選択されたファイル名になります。ファイルの拡張子には.bat、.com、.pif、.scr、または.zipが付きます。
im_shocked / oh_nono / thats_hard / mail / auto_mail / re-mail_system
/ Error_mail
または、<受信者のドメイン名>.<1番目の拡張子>.zipというファイル名となる場合があります。その場合、<1番目の拡張子>は.txt、.doc、.word、.xls、.eml、.TXT、.DOC、.EMLのうちいずれかとなります。 |
| 8. |
感染すると、ワームは自分自身を%System%\<ランダムな文字列>.exeとして2つコピーします。
<ランダムな文字列>は以下の候補のうちいくつかを組み合わせたものになります。
sys / host / dir / expoler / win / run / log / 32 / disc / crypt
/ data / diag /
spool / service / smss32
| * |
%System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。
標準では、このフォルダはC:\Windows\System32(Windows XP)です。 |
|
| 9. |
また、以下のファイルがWindowsのシステムフォルダ内に作成されます。
| |
nonzipsr.noz
clonzips.ssc
clsobern.isc
sb2run.dii
winsend32.dal
winroot64.dal
zippedsr.piz
winexerun.dal
winmprot.dal
dgssxy.yoi
cvqaikxt.apk
sysmms32.lla
Odin-Anon.Ger |
|
|
| 10. |
起動時に必ず「W32.Sober.I@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
| * |
値 : |
"<ランダムな値>" = "%System%\<ランダムなワームファイル名>.exe"
"<ランダムな値>" = "%System%\<ランダムなワームファイル名>.exe
%srun%" |
| |
場所 : |
上記値が次のレジストリキーに追加されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
<ランダムな値>は以下の候補のうちのいずれか、またはいくつかを組み合わせたものになります。
sys / host / dir / expoler / win / run / log / 32 / disc / crypt
/ data / diag / spool /
service / smss32 / x
<ランダムなワームファイル名>はシステムフォルダにコピーされた2つのファイルそれぞれのファイル名になります。 |
