Soberワームの亜種「Sober-M（Sober.N）」，アンチウイルス・ベンダーが警告

高橋信頼

2005.04.20

　英Sophosが英国時間4月19日に，電子メールで感染を広げる「Sober」ワームの亜種「W32/Sober-M」について警告した。

　Windowsシステムに感染して電子メール・アドレスを抽出し，電子メール添付ファイルの形式で自身の複製をほかのシステムに送りつける。SMTPエンジンを内蔵しており，電子メール送信者のアドレスは擬装する。感染するとレジストリに自身の複製をコピーする。

　同ワームが送信する電子メールの内容は以下の通り。

【.de／.ch／.at／.liドメインのメール・アドレス宛】
--------------------------------------------------------------------------
・Subject（件名）：
FwD: Ich bin's nochmal

・Body（本文）：
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.

Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!

Ich melde mich.
Bis bald ;)

・添付ファイル：
Private-Texte.zip
--------------------------------------------------------------------------

【その他ドメインのメール・アドレス宛】
--------------------------------------------------------------------------
・Subject（件名）：
I've_got your EMail on my_account!

・Body（本文）：
Hello,
First, Very Sorry for my bad English.

Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.

I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again.

bye

・添付ファイル：
your_text.zip
--------------------------------------------------------------------------

　またフィンランドのF-Secureは同日，同ワームを「Sober.N」（別名は「Email-Worm.Win32.VB.aj」「W32.Sober.N@mm」「W32/Sober.o@MM」）として警告した。

　電子メールを受け取ったユーザーが添付ファイルを実行すると，同ワームは“おとり”としてテキスト・エディタを開く。ユーザーが気を取られているすきに，同ワームは「%WinDir%\Config\system\」フォルダを作り，そのなかに自身の複製を「services.exe」として保存する。そのうえで，コンピュータが再起動するたびに自身を実行するよう，以下のレジストリ・キーを追加する。

・[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]：
　"SystemCheck" = "%WinDir%\Config\system\services.exe"

・[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]：
　"_SystemCheck" = "%WinDir%\Config\system\services.exe"

　さらに，インストール・フォルダにbase64エンコーディングしたワーム「zipped.wrm」と，電子メール・アドレス保存用ファイル「maddys.xyz」を作る。システム・フォルダ内に，Soberワームの既存亜種を不活性化する以下のファイルを入れる。