PR

 米McAfeeのウイルス対策技術研究機関であるMcAfee AVERT(Anti-Virus Emergency Response Team)は,大量の電子メールを送信する「Sober」ワームの新たな亜種「W32/Sober.k@MM(Sober.k)」の危険度評価を「中」とする警告を米国時間1月31日に発表した。

 Sober.kは,SMTPエンジンを内蔵しており外向け送信メッセージを作成する。メッセージはドイツ語か英語で書かれる。感染したコンピュータから電子メール・アドレスを抽出し,送信元を偽装して自身の複製を送りつける。添付ファイルは,ZIP形式で届き,中にはEXEファイルが含まれている。ファイル名には拡張子が2つ付けられており,最初が「.TXT」で,いくつかのスペースの後に「.PIF」が続く。

 同社によれば,メールの受信だけで感染することはない。ユーザーがZIPファイルを解凍してEXEファイルを実行した場合に発症するという。

 電子メールは以下のような内容で届く。

ドイツ語バージョン
-------------------------------------------------------------
発信者:(偽装電子メール・アドレス)

件名:Ey du DOOF Nase, warum beantw...

メッセージ本文:
Warum beantwortest Du meine E-Mails nicht?
Kommen meine Mails nicht mehr bei dir an oder so???
Habe mir jetzt extra eine neue Mail Adresse bei GMX gemacht!
Ich hoffe mal, das sie jetzt zu dir durch dringen wird.
In meinen anderen Mails habe ich einige Wichtige Dinge niedergeschrieben,
hatte aber keine Lust alles nochmal zu schreiben.
Deshalb habe ich die alten Mail-Texte im Texteditor kopiert und mit
Winzip klei ner gemacht.
Lesen und diesmal auch bescheid geben!!!!
tschau.....

添付ファイル:
・ Texte.zip

英語バージョン
-------------------------------------------------------------
件名:I've got YOUR email on my account!!

メッセージ本文:
Hello, First, Sorry for my very bad English! Someone send your
private mails on my email account!I think it's an Mail-Provider or SMTP
error.
Normally, I delete such emails immediately, but in the mail-text is a
name & ad ress. I think it's your name and adress. In the last 8 days
i've got 7 mails in my mail-box, but the recipient are you, not me. Lol
OK,
I've copied all email text in the Windows Text-Editor and i've zipped
the t ext file with WinZip. The sender of this mails is in the text file,
too.
bye

添付ファイル:
・EMAIL_TEXT.ZIP
・ TEXT.ZIP

ZIPアーカイブには,ワームが次のファイル名で表示される:
・MAIL_TEXT-INFO.TXT(多数のスペース).PIF

 パソコンに感染すると,Windows Systemディレクトリに自身をコピーし,そのディレクトリに抽出した電子メールを格納する「DATAMX.DAM」,ワームを複製した59.504バイトのファイル「DGSFZIPP.GMX」を作成する。

 また,ワームはコンピュータが再起動するたびに自身を実行するよう,以下のレジストリ・キーを追加する。

・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"adisccrypt" = %SYSDIR%\sysspooldisc.exe

・KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"dircryptlog" = %SYSDIR%\sysspooldisc.exe
 (%SYSDIR%がC:\Windows\System32またはC:\Winnt\System32の場合)

◎関連記事
スペインPanda Softwareが新しいワーム「Cisum.A」を警告
2004年12月のウイルス被害状況,新たなワーム「Zafi-D」が全体の4割近くを占める
「ITマネージャが考える2005年ネットワーク・セキュリティの脅威はスパイウエア」,米WatchGuard
米Google,「Santy」ワームが“標的”を探せないようにフィルタリングを開始

発表資料へ