製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.i@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4304
対応定義ファイル
(現在必要とされるバージョン)		4324 (現在7080)
対応エンジン4.2.40以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名W32.Paylap@mm (NAV)
情報掲載日03/11/14
発見日(米国日付)03/11/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/20RDN/Generic....
05/20RDN/Generic ...
05/20RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7080
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年11月20日更新情報
感染報告が減少傾向にあるため、危険度を「低:要注意」に下げました。

・これはW32/Mimail.gen@MM ウイルスの新種で、以下に示す画像のような偽のPayPalメッセージを表示してクレジットカード情報を盗もうとします。クレジットカード情報は「ppinfo.sys」という名前のファイルに保存され、決め打ちされた4つのメールアドレスに送信されます。

・ワームは、内蔵されたSMTPエンジンを使用してメールメッセージを作成します。既出の亜種と同様、メールルーチンがメールサーバへ、取り出されたターゲットアドレスに関連するドメインのクエリー(データベースへの検索要求)をします。これはターゲットとなるドメイン上のMX検索を経由して決められます。その後、作成されたメッセージがSMTPサーバを通じて送信されます。

・受信されるメールは以下のような内容で届きます。

宛先:
差出人:"PayPal.com" donotreply@paypal.com
件名:YOUR PAYPAL.COM ACCOUNT EXPIRES

Dear PayPal member,

PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information. We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure. IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received. Thank you for using PayPal

添付ファイル:(以下のいずれか)

・paypal.asp.scr
・www.paypal.com.scr

添付ファイルが実行されると、以下のようなウィンドウを表示します。



■メール繁殖

・ターゲットとなるメールアドレスは、感染マシン上のファイルから取り出されます。以下の拡張子をもつファイルから抽出したアドレスは無視します。

・avi
・bmp
・cab
・com
・dll
・exe
・gif
・jpg
・mp3
・mpg
・ocx
・pdf
・psd
・rar
・tif
・vxd
・wav
・zip

・ターゲットとなるフォルダは、クエリーされた以下のレジストリーによって決められます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders

■クレジットカード情報の詐取

・PayPal詐取によって盗み取られたクレジットカード情報はCドライブのPPINFO.SYS内で照合されます。そしてファイル本文内の、暗号化されている4つのメールアドレスへデータの送信を試みます。

・mystics@mail15.com
・need4cc@mail15.com
・nakayamo@centrum.cz
・cccash@centrum.cz

・上記のようにして、感染マシンからこのサーバの送信DNSクエリーが発行されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・スタートアップ時にウイルスを起動するために、以下のレジストリキーが追加されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SvcHost32" = C:\WINDOWS\svchost32.exe

以下のファイルが追加されます。

●c:\pp.gif (paypalアイコン)
● c:\pp.hta (画像)
● c:\ppinfo.sys (クレジットカードの詳細)
● %WinDir%\ee98af.tmp (ワームのコピー)
● %WinDir%\el388.tmp (抽出されたメールアドレス)
● %WinDir%\svchost32.exe (ワームのコピー)
● %WinDir%\zp3891.tmp

・%WinDir% は、ウィンドウズディレクトリ名によって変わります。ワームは単にシステム%WinDir% ディレクトリを使用します。

・ワームは、www.akamai.comに接続されているか確認することによって、インターネット接続が有効になっているかどうかチェックします。

感染方法TOPへ戻る

・このウイルスはメールを介して繁殖します。手動で添付ファイルを起動するとローカルマシンに感染します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

・駆除ツールStnger(ver1.9.4)がこのウイルスに対応しています。ダウンロードはこちら

手動で駆除する場合
1.Win9x/MEの場合 - システムをセーフモードで再起動します。 (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
- WinNT/2K/XPの場合 - プロセスを終了させる。SVCHOST32.EXE

2.以下のファイルをウィンドウズディレクトリから削除します(通常はc:\windowsまたはc:\winnt)。
・SVCHOST32.EXE
・ EE98AF.TMP
・ EL388.TMP

3.レジストリの編集 - "SvcHost32"の値を以下の場所から削除する。
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下のファイルを削除する(クレジットカード情報に含まれている)
●C:\PPINFO.SYS

Snifferユーザの方
・Snifferフィルタで、Mimail.iのトラフィックを探索することができます。
(Sniffer Distributed 4.1/4.2/4.3, Sniffer Portable 4.7/4.7.5, Netasyst用)
Snifferフィルタをダウンロード