awaji HIT
淡路市の情報推進化に本気で取り組んでいます。awaji Human Information Technology(旧名称:ひがしうら情報技術推進会議)

緊急ウィルス速報です

緊急ウィルス速報

ソバー・Y(Worm.Sober.y)
メール添付ファイルから感染する[メール無断送信]ワーム
別名 : WORM_SOBER.AG
発見日 : 2005年11月21日(月)

■ 感染したらどうなる

「Error in packed Header」という偽のエラーメッセージが表示され、ウイルス
添付メールを勝手に大量送信します。

■ 感染しないためには

メールに添付された添付ファイルをむやみに実行しないようにしてください。
拡張子は「.zip」です。詳しくは「詳細情報」をご覧ください。

■ 詳細情報

送信されるメールの形式は以下の通りですのでご注意ください。

差出人:収集したメールアドレスでなりすまします。

件名:以下のいずれかです。

hi,_ive_a_new_mail_address
Mail delivery failed
Registration Confirmation
smtp mail failed
Spam: Registration Confirmation
Your Password
Your IP was logged
Paris_Hilton_&_Nicole_Richie
You visit illegal websites

本文:以下のいずれかです。
-----------------------------

hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...

cyaaaaaaa

-----------------------------

This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached

-----------------------------

Account and Password Information are attached!

***** Go to: http://www.{random}.com
***** Email: {random}.com

-----------------------------

Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.

Yours faithfully,
Steven Allison

*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000

-----------------------------

Account and Password Information are attached! ---

The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)

Download is free until Jan, 2006!

Please use our Download manager.

-----------------------------

・添付ファイル:以下のいずれかです。

mailtext.zip
mail.zip
reg_pass.zip
mail.zip
reg_pass-data.zip
question_list.zip
list.zip
downloadm
mail_body.zip

・zipファイルには、以下のファイルが梱包されています。

File-packed_dataInfo.exe

・レジストリの値を作成

添付ファイルを実行すると、ウィンドウズディレクトリに「services.exe」
として自分自身をコピーし、レジストリの値を作成します。

・以下のファイルを同じ場所に作成します。

bbvmwxxf.hml
filesms.fms
langeinf.lin
nonrunso.ber
rubezahl.rub
runstop.rst

・システム起動時にウイルスが実行されるように、レジストリの値を作成します。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
_Windows = "<Windowsディレクトリ>\WinSecurity\services.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = "<Windowsディレクトリ>\WinSecurity\services.exe"

・大量メール送信

このウイルスは、ハードディスク内を検索して、拡張子「.wab」のファイルから
メールアドレスを収集し、特定の文字列を含むメールアドレスに、ウイルスを添付
したメールを送信します。

・ プロセスの強制終了

ハードディスク内を検索し、"Microsoft Windows 悪意のあるソフトウェアの削除ツール"
である「MRT.EXE」というプロセスを停止します。
一言として、変なメールの添付ファイルは開かないようにしましょう!

category 気を付けましょう!  /  2005年 11月 23日 03:30  | Comments ( 0 ) | Trackback ( 0 )

コメント

コメントを投稿する


名前

メールアドレス

URL

コメント

※規約に同意の上 コメント投稿を行ってください。

トラックバック

この記事のトラックバックURL