製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス名危険度
W32/Evaman.c@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4383
対応定義ファイル
(現在必要とされるバージョン)
4383 (現在7568)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Mydoom.o (AVP)
W32/Mydoom.q@MM
WORM_MYDOOM.O (Trend)
情報掲載日04/08/05
発見日(米国日付)04/08/03
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/20Generic Back...
09/20GenericR-CBX...
09/20RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7568
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2004年8月4日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。 http://news.zdnet.co.uk/business/legal/0,39020651,39162570,00.htm
・W32/Evaman.c@MMは大量メール送信型ウイルスで、以下の特徴を持つ電子メールの添付ファイルとして到着します。

差出人:(差出人ヘッダーを擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、ウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます(例:john@mydomain.com)。

・一般的に使用される名前は以下のとおりです。

  • barbara
  • daniel
  • david
  • eric
  • jason
  • jennifer
  • jessica
  • joe
  • john
  • karen
  • kevin
  • linda
  • mary
  • mike
  • nancy
  • pamela
  • patricia
  • robert
  • sarah
  • susan
件名:(以下のいずれか)
  • Delivery Status (Secure)
  • failed transaction
  • Re: Extended Mail
  • Re: hello (Secure-Mail)
  • Re: Server Reply
  • Secure delivery
  • SN: New secure mail
  • SN: Server Status
本文:(一例は以下のとおり)

要素1

  • ドメイン :: Automatically Secure Delivery: for 電子メールアドレス
  • ドメイン :: Mail Delivery Server System: for 電子メールアドレス
  • ドメイン :: Extended secure mail message available at: 電子メールアドレス
  • ドメイン :: Secure Mail Server Notification: for 電子メールアドレス
  • ドメイン :: New mail secure method implement: for 電子メールアドレス
要素2
  • New policy requested by mail server to returned mail as a secure compiled attachment (Zip).
  • Now a new message is available as secure Zip file format. Due to new policies on clients.
  • This message is available as a secure Zip file format due to a new security policy.
  • For security measures this message has been packed as Zip format. This is a newly added security feature.
  • New policy recommends to enclose all messages as Zip format. Your message is available in this server notice.
  • You have received a message that implements secure delivery technology. Message available as a secure Zip file.
要素3
  • This message is an automatically server notice from Administration at ドメイン
  • Server Notice:New security feature added. MSG:ID: 455sec86 from ドメイン
  • New feature added for security reasons from ドメイン
  • Automatically server notice:, Server reply from ドメイン
  • New service policy for security added from ドメイン
添付ファイル:(以下のいずれか)
  • attachment
  • document
  • file
  • mail
  • message
  • readme
  • text
  • transcript
・上記の後に以下のいずれかの拡張子が付加されます。
  • .zip
  • .exe
  • -txt.exe
  • -htm.exe
  • -txt.scr
・添付ファイルが手動で実行されると、W32/Evaman.c@MMは[メモ帳]を実行します。

・W32/Evaman.c@MMは、winlibs.exeという名前でWindowsのシステムディレクトリ(例:c:\Windows\System32)に自身をコピーし、システムの起動時に自身をロードするレジストリ実行キーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "winlibs.exe" = C:\WINDOWS\System32\winlibs.exe
・さらに、以下のレジストリキーが作成されます。
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Explorer\winlibs
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\winlibs
・W32/Evaman.c@MMは、以下の拡張子を含むファイルを分析して、ローカルシステムから電子メールアドレスを抽出します。
  • adb
  • asp
  • cfg
  • dbx
  • dhtm
  • eml
  • htm
  • html
  • js
  • jse
  • jsp
  • mmf
  • msg
  • ods
  • php
  • pl
  • sht
  • shtm
  • shtml
  • tbb
  • txt
  • wab
  • xml
・また、さらに受信者のアドレスを収集するため、Yahooを照会します。
  • http://email.people.yahoo.com:80/py/psSearch.py ?
・以下の文字列を含む電子メールアドレスは対象から除外します。
  • .edu
  • .gov
  • .mil
  • @MM
  • @mm
  • 32.
  • ample
  • arsoft
  • ating
  • avp
  • Bug
  • bug
  • buse
  • cafee
  • ccoun
  • cribe
  • CRIBE
  • dmin
  • ebmast
  • ecur
  • eport
  • eturn
  • gmail
  • help
  • ibm
  • ICROSOFT
  • icrosoft
  • inpris
  • inrar
  • inux
  • inzip
  • irus
  • ists
  • list
  • msdn
  • msn
  • nfo
  • ntivi
  • omain
  • omment
  • ompu
  • oogle
  • oot
  • opho
  • orton
  • otmail
  • panda
  • pdate
  • persk
  • rend
  • ruslis
  • Sale
  • sale
  • sarc
  • senet
  • soft
  • spam
  • Spam
  • SPAM
  • ugs
  • umit
  • upport
  • user
  • USER
  • ware
  • win
  • ymant
  • YOU
  • you

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・WINDOWS\System32ディレクトリおよびレジストリキーにwinlibs.exeファイルが存在します。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Run "winlibs.exe" = C:\WINDOWS\System32\winlibs.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Explorer\winlibs
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\winlibs

感染方法TOPへ戻る
・W32/Evaman.c@MMは、電子メールを介して繁殖します。ユーザが添付ファイルを開かない限り、感染しません。感染すると、そのシステムを利用し、ローカルシステムおよびWeb上で見つかったアドレスに感染メッセージを送信して、さらに繁殖します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足