製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.c@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4301
対応定義ファイル
(現在必要とされるバージョン)		4376 (現在7080)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名I-Worm.WatchNet (AVP)
W32/Bics@MM
情報掲載日03/11/01
発見日(米国日付)03/10/31
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/19RDN/Generic ...
05/19Generic Down...
05/19RDN/Download...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年11月5日更新情報
感染報告が減少傾向にあるため、危険度を「低:要注意」に下げました。

・このワームは大量に迷惑メールを送信します。undelivered.htaという名前の添付ファイル(4250ウイルス定義ファイルでDownloader-BO.dr として検出済)はハードディスクにmware.exe ファイルを作成します。この実行ファイルがW32/Mimail.c@MM ウイルスです。htaファイルが起動すると、以下のメッセージが表示されます。

Your message will be sent again in 1 hour. If it doesn't arrive - we will delete it from queue.

・この大量メール送信型ワームは。ZIPファイルとして繁殖し、サービス拒否と情報詐取ペイロードを内包しています。

・このワームはW32/Mimail@MMと似ています。しかし、W32/Mimail@MMのようにコードベース (MS02-015)とMHTML (MS03-014 ) を悪用することはありません。

・このウイルスの主な特徴は以下のとおり

・メッセージ作成用のSMTPエンジンを内蔵している。
・ZIP形式の添付ファイルとしてウイルス自身を送信
・ローカルマシンからメールアドレスを取り出す。
・リモートサーバに大量のごみメールを送信 - サービス拒否ペイロードを示唆(詳細は以下)
・情報をキャプチャし、それを4つのアドレスに送信。

・圧縮ファイルのスキャンは、オプション検出を有効にしておく必要があります。

大量メール送信

・ターゲットとなるメールアドレスは、感染マシン上のファイルから抽出されます。ワームは以下の拡張子を含むファイルは無視します。

・avi
・ bmp
・ cab
・ com
・ dll
・ exe
・ gif
・ jpg
・ mp3
・ mpg
・ ocx
・ pdf
・ psd
・ rar
・ tif
・ vxd
・ wav
・ zip

・抽出されたアドレスはウィンドウズディレクトリにあるEML.TMP に書き込まれます。有効なメールアドレスの特定があまりにずさんなので、メッセージが無効な受信者に対して送信される可能性があります。

・送信メッセージは内蔵されたワームのSMTPエンジンによって作成されます。内容は以下のとおり。

件名:Re[2]: our private photos (さらに、スペースが追加され、ランダムに選ばれた文字が入る)
添付ファイル:PHOTOS.JPG.EXEファイル (12,832バイト)を含むPHOTOS.ZIPファイル (12,958バイト)
本文:
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James. (ランダムに選ばれた文字-件名の最後の文字と同様)

・メッセージは以下のX-headersで作成されます。

X-Mailer: The Bat! (v1.62)
X-Priority: 1 (High)

・送信メッセージの「送信者」は以下のようになりすまします。

・james@(ターゲットとなるドメイン:例 james@abc.com、james@xyz.com、etc )

・メールルーチンは、ターゲットとなる(抽出された)アドレスに関連するドメインのメールサーバをクエリーします。そしてSMTPサーバを通じて送信されます。そのため、ワームは決められたIPアドレス (212.5.86.163)を含んでいます。

サービス拒否

・ワームはリモートサーバ(ポート80とICMP). に大量のデータを送信します。ワームはwww.google.comによるコンタクトが動作中かどうか検証します。

・darkprofits.net
・ darkprofits.com
・ www.darkprofits.net
・ www.darkprofits.com

・ワームはMSVCで書かれています。AVERTが受け取ったサンプルはUPX 圧縮されていました。

情報詐取ペイロード

・以下のメールアドレスはウイルスの本文内で暗号化されており、キャプチャされた情報を以下のメールアドレスに送信しているようです。

・omnibbb@gmx.net
・ drbz@mail15.com
・ omnibcd@gmx.net
・ kxva@mail15.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下の感染方法に書いてあるファイルとレジストリキーガ存在する。

・送信メッセージが上記のものと一致する

・大量のデータが、リモートサーバのポート80に送信されている。

感染方法TOPへ戻る

・ワームが感染マシンで起動すると、ワーム自身をNETWATCH.EXEとしてウィンドウズディレクトリにインストールします。

・例: C:\WINNT\NETWATCH.EXE (12,832バイト)

・以下のファイルも同様にウィンドウズディレクトリに落とし込まれます。

●%WinDir%\EML.TMP - 感染マシンから抽出したメールアドレスのリストが含まれている。
●%WinDir%\EXE.TMP - ワームのコピー
●%WinDir%\ZIP.TMP - ワームを内包したZIPアーカイブ

・以下のレジストリキー経由でシステムスタートアップがフックされます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "NetWatch32" = C:\WINNT\NETWATCH.EXE

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

・アップデートされたウイルス駆除ツールStingerがこのウイルスに対応しています。

手動で駆除する場合

1.Win9x/MEの場合 - システムをセーフモードで再起動します。
(電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
WinNT/2K/XPの場合 - プロセスを終了させる。NETWATCH.EXE

2.以下のファイルをウィンドウズディレクトリから削除します(通常はc:\windowsまたはc:\winnt)。
・NETWATCH.EXE
・ EXE.TMP
・ EML.TMP

3.レジストリの編集 - "NetWatch32"の値を以下の場所から削除する。
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

Snifferユーザの方 - こちらからフィルタをダウンロードできます。
[Sniffer Distributed 4.1/4.2/4.3およびSniffer Portable 4.7/4.7.5, Netasyst用]