PR

 米Symantecは,電子メールで感染を広げる「Sober」ワームの亜種「Sober.S@mm」と「W32.Sober.T@mm」に対する警告を米国時間11月15日に発した。両ワームは,SMTPエンジンを内蔵しており,感染したWindowsシステムから電子メール・アドレスを抽出して自身の複製を添付ファイルとして送りつける。

 電子メールのメッセージは,収集したアドレスに応じて英語とドイツ語が使い分けられる。gmx./.de/.li/.ch/.at/itドメインのメール・アドレス宛にはドイツ語のメッセージが送信される。

 同社は,被害状況とダメージを「低」,感染力を「高」と評価している。同ワームを含むスパム・メールが大量に送信されることによって,添付ファイルをメール・サーバーやネットワークのパフォーマンス低下を引き起こす可能性があるという。

 W32.Sober.S@mmが実行されると,「Error: Text-File not complete」というメッセージが表示される。また,W32.Sober.T@mmが実行されると「Error in Excel Key」というメッセージが表示される。Windowsを起動するたびにワームが実行され,これらのメッセージが表示されるようになるという。

 W32.Sober.S@mmの電子メールは以下のような内容で届く。

英語版
-------------------------------------------------------------
件名:Thanks for your registration.

メッセージ本文:
Thanks for your registration!
We have received your payment.
For more detailed information, read the attached text.

添付ファイル:
・ reg_text.zip

ドイツ語版のメール
-------------------------------------------------------------
件名:Hi, Ich bin's

メッセージ本文:
Hier ist die Liste die du haben wolltest.
Du solltest dich aber auch eintragen!

添付ファイル:
・reg_text.zip

 また,W32.Sober.T@mmの電子メールは以下のような内容で届く。
英語版
-------------------------------------------------------------
件名:Your email

メッセージ本文:
Hello,
Sorry, sorry sorry, because,, my English is not the best!

ok, I've got an email with an Excel-Table. But I am not the recipient, the recipient are you!
I think, it's an mail error!
OK, here is your table back!

cya...

添付ファイル:
・excel_table.zip

ドイツ語版のメール
-------------------------------------------------------------
件名:Ihre eMail!

メッセージ本文:
Guten Tag,
jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!).
Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler.

Ok, hier haben Sie sie wieder zurueck!

gruss

添付ファイル:
・ Tabelle.zip

 また,ロシア Kaspersky Labsが検出した亜種では,メールに「Exceltab-packed_list.exe」「Liste.zip」「Reg-List-Dat_Packer2.exe」「reg_text.zip」「Word-Text.zip」「Word-Text_packedList.exe」「Word-Text_packedList.zip」という名前のファイルが添付されているという。

◎関連記事
ドイツの警察が「Sober」ウイルスを事前に警告,予告どおりに出現
2005年5月のウイルス被害状況,W杯チケット当選を騙る「Sober-N」がワースト1に
「Sober.N(Sober.P)」感染PCを踏み台にする「Sober.Q」,米MX Logicが警告
英MessageLabsが急拡散中のBagle亜種を警告,1時間で4万5769通を遮断

発表資料(1)
発表資料(2)