英Sophosが英国時間4月19日に,電子メールで感染を広げる「Sober」ワームの亜種「W32/Sober-M」について警告した。
Windowsシステムに感染して電子メール・アドレスを抽出し,電子メール添付ファイルの形式で自身の複製をほかのシステムに送りつける。SMTPエンジンを内蔵しており,電子メール送信者のアドレスは擬装する。感染するとレジストリに自身の複製をコピーする。
同ワームが送信する電子メールの内容は以下の通り。
【.de/.ch/.at/.liドメインのメール・アドレス宛】
--------------------------------------------------------------------------
・Subject(件名):
FwD: Ich bin's nochmal
・Body(本文):
Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)
・添付ファイル:
Private-Texte.zip
--------------------------------------------------------------------------
【その他ドメインのメール・アドレス宛】
--------------------------------------------------------------------------
・Subject(件名):
I've_got your EMail on my_account!
・Body(本文):
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again.
bye
・添付ファイル:
your_text.zip
--------------------------------------------------------------------------
またフィンランドのF-Secureは同日,同ワームを「Sober.N」(別名は「Email-Worm.Win32.VB.aj」「W32.Sober.N@mm」「W32/Sober.o@MM」)として警告した。
電子メールを受け取ったユーザーが添付ファイルを実行すると,同ワームは“おとり”としてテキスト・エディタを開く。ユーザーが気を取られているすきに,同ワームは「%WinDir%\Config\system\」フォルダを作り,そのなかに自身の複製を「services.exe」として保存する。そのうえで,コンピュータが再起動するたびに自身を実行するよう,以下のレジストリ・キーを追加する。
・[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:
"SystemCheck" = "%WinDir%\Config\system\services.exe"
・[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:
"_SystemCheck" = "%WinDir%\Config\system\services.exe"
さらに,インストール・フォルダにbase64エンコーディングしたワーム「zipped.wrm」と,電子メール・アドレス保存用ファイル「maddys.xyz」を作る。システム・フォルダ内に,Soberワームの既存亜種を不活性化する以下のファイルを入れる。
・nonrunso.ber
・langeinf.lin
・adcmmmmq.hjg
・xcvfpokd.tqa
◎関連記事
■「企業ITシステムへのウイルス攻撃の頻度と影響は引き続き拡大」,米Cybertrust
■2005年3月のウイルス被害状況,「Zafi-D」が4カ月連続のワースト1
■「MSN Messenger」経由で増殖するワーム,相次いで出現
■米McAfeeがSoberワームの亜種「W32/Sober.k@MM(Sober.k)」を警告,危険度は「中」
■米McAfeeが新たなワーム「Sober.J」を警告,主に欧州で感染
■「Sober」ワームの新たな亜種「Sober.F」,危険度は「中」
■Soberワームの新たな亜種「Sober.D」,米MSからのMydoom用パッチを装う
■2004年2月のウイルス被害状況,「Sober-C」が再びワースト1に
[発表資料(Sophos社)]
[発表資料(F-Secure社)]