McAfee for Small Businesses

・W32/Mimail.e@MMは、定義ファイル4301でW32/Mimail.gen@MM（特定のワーム名ではなく、ワームの総称です）として検出されます。W32/Mimail.e@MM は、W32/Mimail.c@MM に非常によく似ています。

・W32/Mimail.e@MMは大量メール送信型ワームです。.ZIPファイルで繁殖し、サービス拒否攻撃を仕掛けます。

・W32/Mimail.e@MMの主な特徴は以下のとおりです。

• メッセージを作成する、自身のSMTPを内臓
• Zip形式の添付ファイルで自身を送信
• ローカルマシンから電子メールアドレスを収集
• リモートサーバへ大量の（ゴミ）データを送信：DoS（サービス拒否）攻撃（下記参照）

・圧縮ファイルのスキャンを常時有効にしてください。

電子メールを介した繁殖

・W32/Mimail.e@MMは、ターゲットマシンから電子メールアドレスを収集します。W32/Mimail.e@MMは、以下の拡張子をもつファイルから抽出したアドレスは無視します。

• avi
• bmp
• cab
• com
• dll
• exe
• gif
• jpg
• mp3
• mpg
• ocx
• pdf
• psd
• rar
• tif
• vxd
• wav
• zip

・W32/Mimail.e@MMは、%WinDir%ディレクトリ（例：c:\windows）のEML.TMPファイルに収集したアドレスを書き込みます。AVERTのテストでは、W32/Mimail.e@MMは有効アドレスの識別があいまいなため、無効な宛先にメッセージを送信する可能性が高いと考えられます。

・W32/Mimail.e@MMは、自身のSMTPエンジンを使用して、以下のような電子メールメッセージを送信します。

件名： don't be late!（この後に、スペースとランダムな文字）
Attachment : readnow.zip（10,912バイト。10,784バイトのreadnow.doc.scrファイルを含む）

本文：
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,

so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

（件名の末尾と同じランダムな文字）

・送信メッセージの送信者は、以下のように偽造されます。

• john@（ターゲットドメイン.com)
  例：
  • john@abc.com
  • john@xyz.com など

・W32/Mimail.e@MMは、これまでに発見された亜種と同様に、大量メール送信ルーチン実行時に、（収集した）ターゲットアドレスのドメインをメールサーバにクエリーします。その後、SMTPサーバを介して、メッセージを送信します。W32/Mimail.e@MMは、ハードコード化されたIPアドレス（212.5.86.163）を含んでいます。

サービス拒否

・W32/Mimail.e@MMは、大量のデータをリモートサーバ（ポート80とICMP)へ送信します。www.google.comに接続して、接続がアクティブかどうかを確認します。接続がアクティブな場合は、以下のドメインに対してサービス拒否攻撃を開始します。

• spews.org
• spamhaus.org
• spamcop.net
• www.spews.org
• www.spamhaus.org
• www.spamcop.net