1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Sobig.F@mm
  4. W32.Sobig.F@mm
  • ブックマーク

W32.Sobig.F@mm

危険度2: 低

発見日:
2003 年 8 月 18 日
更新日:
2007 年 2 月 13 日 12:12:29 PM
別名:
Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], WORM SOBIG.F [Trend], W32/Sobig-F [Sophos], Win32.Sobig.F [CA], I-Worm.Sobig.f [KAV]
種別:
Worm
感染サイズ:
約 72,000 バイト
影響を受けるシステム:
Windows

W32.Sobig.F@mm が実行されると、次のことを行います。
  1. 自分自身を %Windir%\winppr32.exe としてコピーします。

    注意: %Windir% は可変です。このワームは、 Windows のインストールフォルダ (デフォルトでは、C:\Windows または C:\Winnt) を探し出し、自分自身をその場所にコピーします。

  2. ファイル %Windir%\winstt32.dat を作成します。

  3. 次のレジストリキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    次の値を追加します。


    "TrayX"="%Windir%\winppr32.exe /sinc"

    これにより、Windows が起動された時にこのワームが実行されるようにします。

  4. 次のレジストリキーへ

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    次の値を追加します。


    "TrayX"="%Windir%\winppr32.exe /sinc"

    これにより、Windows が起動された時にこのワームが実行されるようにします。

  5. 感染したコンピューターが書き込みアクセス権限を持っているネットワーク共有をすべて列挙します。これを行うのに、このワームは標準の Windows API を使用します。


    注意: コード内のバグにより、ワームはネットワーク共有上ではコピーは行いません。
Sobig.F は、感染したコンピューターへ任意のファイルをダウンロードして実行することができます。このワームの作成者は、この機能を、システムの秘密情報を盗み取り、感染したコンピューター上でスパムのリレーサーバーをセットアップするのに使用していました。

またこの機能は、ワームの自己更新機能としても使用することができます。適合する条件の下では、Sobig.F は、ワームの作成者が管理しているマスターサーバーのいずれかのリストにコンタクトを試みます。その後、このワームは、トロイの木馬をどこで取得するかを決めるのに使用する URL を抽出し、そのトロイの木馬ファイルをローカルコンピューターへダウンロードし、それを実行します。

Sobig.F では、このダウンロードの試行を行うための条件は、次のとおりです。
  • 協定世界時 (UTC) に基づく、金曜日または日曜日。
  • 協定世界時 (UTC) に基づく、7:00 P.M. から 10:00 P.M. の間。


次のリストは、マスターサーバーに対応する IP アドレスを含んでいます。
  • 12.232.104.221
  • 12.158.102.205
  • 24.33.66.38
  • 24.197.143.132
  • 24.206.75.137
  • 24.202.91.43
  • 24.210.182.156
  • 61.38.187.59
  • 63.250.82.87
  • 65.92.80.218
  • 65.92.186.145
  • 65.95.193.138
  • 65.93.81.59
  • 65.177.240.194
  • 66.131.207.81
  • 67.9.241.67
  • 67.73.21.6
  • 68.38.159.161
  • 68.50.208.96
  • 218.147.164.29


Sobig.F は、ポート 123/udp (NTP ポート) でいくつかの利用可能なサーバーのうちの 1 つにコンタクトすることによって、NTP プロトコルを介して UTC 時刻を取得します。

ワームは、マスターサーバーのポート 8998/udp へプローブを送信することによって、ダウンロードの試行を開始します。次に、サーバーは URL で応答し、そこでワームは実行するためのファイルをダウンロードすることができます。

W32.Sobig.E@mm とは異なり、Sobig.F は、以前に報告された着信 UDP データグラムを待機するための次のポートを開くことはしません。
  • 995/udp
  • 996/udp
  • 997/udp
  • 998/udp
  • 999/udp


ネットワーク管理者は、次のことを行うべきです。
  • ポート 8998/udp でのアウトバウンドのトラフィックをブロックします。
  • NTP 要求 (ポート 123/udp) を監視します。これらは、感染したコンピューターから来る可能性があるためです。(このような感染したコンピューターのチェックは、1 時間に 1 回の頻度で行うべきです。)


E メールの詐称

W32.Sobig.F@mm は、"詐称" というテクニックを使用します。このテクニックによって、ワームは感染したコンピューター上で見付けたアドレスをランダムに選択します。ワームは、大量メール送信ルーチンを行う際に、このアドレスを「差出人」アドレスとして使用します。感染していないコンピューターのユーザーが、感染したメッセージを送信したという文句を他の人から受けたという報告が、数多くなされています。

たとえば、Linda Anderson は W32.Sobig.F@mm に感染したコンピューターを使用しているとします。Linda は、アンチウイルスプログラムを使用しておらず、最新のウイルス定義も持っていません。W32.Sobig.F@mm がその E メールルーチンを行った際、Harold Logan の E メールアドレスを見付けます。ワームは、感染したメッセージの「差出人」部分に Harold の E メールアドレスを挿入し、Janet Bishop へ送信します。Janet は Harold に連絡をとり、Harold が Janet へ感染したメッセージを送ったと文句を言います。しかし、Harold が自分のコンピューターをスキャンしても、Norton AntiVirus は何も検出しません。Harold のコンピューターは感染していないからです。


Norton Internet Security/Norton Internet Security Professional
2003 年 8 月 23 日、Symantec は LiveUpdate を介して アップデートした IDS シグネチャをリリースしました。

Symantec Host IDS
2003 年 8 月 21 日、Symantec は Symantec Host IDS 4.1 のアップデートをリリースしました。

Intruder Alert
2003 年 8 月 21 日、Symantec は Intruder Alert 3.6 W32_SobigF_Worm Policy をリリースしました。

Symantec ManHunt
W32.Sobig.F.Worm に特有のシグネチャを提供するために、Security Update 8 がリリースされました。

Symantec Client Security
2003 年 8 月 22 日、Symantec は、W32.Sobig.F@mm の動作を検出するために LiveUpdate を介して IDS シグネチャをリリースしました。

Symantec Gateway Security
2003 年 8 月 22 日、Symantec は Symantec Gateway Security 1.0 のアップデートをリリースしました。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Benjamin Nahorney
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube