製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.e@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4301
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Mimail.e (AVP)
情報掲載日03/11/04
発見日(米国日付)03/11/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mimail.e@MMは、定義ファイル4301でW32/Mimail.gen@MM(特定のワーム名ではなく、ワームの総称です)として検出されます。W32/Mimail.e@MM は、W32/Mimail.c@MM に非常によく似ています。

・W32/Mimail.e@MMは大量メール送信型ワームです。.ZIPファイルで繁殖し、サービス拒否攻撃を仕掛けます。

・W32/Mimail.e@MMの主な特徴は以下のとおりです。

  • メッセージを作成する、自身のSMTPを内臓
  • Zip形式の添付ファイルで自身を送信
  • ローカルマシンから電子メールアドレスを収集
  • リモートサーバへ大量の(ゴミ)データを送信:DoS(サービス拒否)攻撃(下記参照)

・圧縮ファイルのスキャンを常時有効にしてください。

電子メールを介した繁殖

・W32/Mimail.e@MMは、ターゲットマシンから電子メールアドレスを収集します。W32/Mimail.e@MMは、以下の拡張子をもつファイルから抽出したアドレスは無視します。

  • avi
  • bmp
  • cab
  • com
  • dll
  • exe
  • gif
  • jpg
  • mp3
  • mpg
  • ocx
  • pdf
  • psd
  • rar
  • tif
  • vxd
  • wav
  • zip

・W32/Mimail.e@MMは、%WinDir%ディレクトリ(例:c:\windows)のEML.TMPファイルに収集したアドレスを書き込みます。AVERTのテストでは、W32/Mimail.e@MMは有効アドレスの識別があいまいなため、無効な宛先にメッセージを送信する可能性が高いと考えられます。

・W32/Mimail.e@MMは、自身のSMTPエンジンを使用して、以下のような電子メールメッセージを送信します。

件名: don't be late!(この後に、スペースとランダムな文字)
Attachment : readnow.zip(10,912バイト。10,784バイトのreadnow.doc.scrファイルを含む)

本文:
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,

so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

(件名の末尾と同じランダムな文字)

・送信メッセージの送信者は、以下のように偽造されます。

  • john@(ターゲットドメイン.com)
    例:
    • john@abc.com
    • john@xyz.com など

・W32/Mimail.e@MMは、これまでに発見された亜種と同様に、大量メール送信ルーチン実行時に、(収集した)ターゲットアドレスのドメインをメールサーバにクエリーします。その後、SMTPサーバを介して、メッセージを送信します。W32/Mimail.e@MMは、ハードコード化されたIPアドレス(212.5.86.163)を含んでいます。

サービス拒否

・W32/Mimail.e@MMは、大量のデータをリモートサーバ(ポート80とICMP)へ送信します。www.google.comに接続して、接続がアクティブかどうかを確認します。接続がアクティブな場合は、以下のドメインに対してサービス拒否攻撃を開始します。

  • spews.org
  • spamhaus.org
  • spamcop.net
  • www.spews.org
  • www.spamhaus.org
  • www.spamcop.net

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
cnfrm.exeファイル(10,784バイト)が存在します。

・上記のメッセージが送信されます。

・大量のデータがリモートサーバのポート80へ送信されます。

感染方法TOPへ戻る

・W32/Mimail.e@MMがターゲットマシンで実行されると、%WinDir%ディレクトリにcnfrm.exeというファイル名で自身をインストールします。

例:

  • C:\WINNT\cnfrm.exe(10,784バイト)

・以下の3つのファイルも%WinDir%ディレクトリに落とし込みます。

  • %WinDir%\EML.TMP:ターゲットマシンから収集した電子メールアドレスのリストを含む
  • %WinDir%\EXE.TMP:ワームのコピー
  • %WinDir%\ZIP.TMP:ワームを含むZIPアーカイブ

・以下のレジストリキーでシステムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Cnfrm32" = C:\WINNT\cnfrm.exe

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足