米McAfeeは,大量の電子メールを送信する「Sober」ワームの新たな亜種「W32/Sober.j@MM(Sober.J)」について危険度を「中」に引き上げた。McAfee社が米国時間11月19日に発表したもの。感染報告のほとんどが欧州から届いており,その大半はドイツからだという。
Sober.Jは,UPXで圧縮したSMTPエンジンを内蔵する。感染したコンピュータから電子メール・アドレスを抽出し,自身の複製を送りつける。受信したユーザーが添付ファイルを実行すると,ワームが発症し,「WinZip_Data_Module is missing ~Error:{2A0DCCF6}」という偽のエラー・メッセージを表示する。また,ワームはシステム・フォルダ内に自身の複製ファイルを2つ作成する。これらは同時に削除しなければ完全に除去することはできないという。
ちなみに米メディアの報道(TechWeb)によると,他のアンチウイルス・ベンダーは同ワームを「Sober.I」としている。電子メールは英語あるいはドイツ語で記述されている。ドイツ語の電子メールは,ドイツ(de),オーストリア(at),スイス(ch),リヒテンシュタイン(le)のドメイン名を含む電子メール・アドレスにのみ送付され,ヌード写真を添付しているように見せかけている。英語版の電子メールは,「Delivery failure notice」や「hey dude!」などの件名で届く。
添付ファイル名は不定で,ランダムに変化する。ワームが「Windows Directory」システム・フォルダに作成するファイルの名称は,以下のいずれかである。
・clonzips.ssc
・clsobern.isc
・cvqaikxt.apk
・dgssxy.yoi
・nonzipsr.noz
・Odin-Anon.Ger
・sb2run.di
・sysmms32.lla
・winexerun.dal
・winmprot.dal
・winroot64.dal
・winsend32.dal
・zippedsr.piz
また,ワームはコンピュータが再起動するたびに自身を実行するよう,以下のレジストリ・キーを追加する。
・HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
"hostexpoler"
Data: C: WINNT System32 datadiscwin.exe
・HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
"wincryptx"
Data: C: WINNT System32 cryptservice.exe %srun%
・HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
"disccryptx"
Data: C: WINNT System32 cryptservice.exe %srun%
・HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run
"runsmss32"
Data: C: WINNT System32 datadiscwin.exe
◎関連記事
■2004年2月のウイルス被害状況,「Sober-C」が再びワースト1に
■「Sober」ワームの新たな亜種「Sober.F」,危険度は「中」
■「巧妙化するウイルスの“手口”にだまされるな」――IPA
■ウイルスは,今年も“心のスキ”を狙い撃つ
■「2004年,北米ISPのワーム対策コストは約2億4500万ドルに」,カナダ企業が予測
■「ウイルスは差出人を詐称する,警告メールを受け取っても慌てるな」――IPA
■2004年ウイルス事情
■「ウイルス作者の“プロ”化が進んでいる」――スペインPanda Software
[発表資料へ]
