製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.j@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4304
対応定義ファイル
(現在必要とされるバージョン)
4304 (現在7512)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/11/18
発見日(米国日付)03/11/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/26Generic.dx!0...
07/26RDN/Generic....
07/26RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7512
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mimail.j@MMは、定義ファイル4304で圧縮実行ファイルをスキャンすると(デフォルトのオプションです)、W32/Mimail.gen@MMとして総称で検出されます。

・W32/Mimail.j@MMは下記のような偽のPayPalメッセージを表示して、クレジットカード情報と個人情報を詐取します。ユーザの情報はppinfo.sysという名前のファイルに格納され、ワームにハードコード化された3つの電子メールアドレスに送信されます。

・W32/Mimail.j@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。大量メール送信ルーチンでは、これまでに発見された亜種と同様に、(収集した)ターゲットアドレスのドメインをメールサーバにクエリして、ターゲットドメイン上でMX検索します。次に、SMTPサーバを介してメッセージを送信します。

・W32/Mimail.j@MMは、以下のような電子メールメッセージで届きます。

送信者:Do_Not_Reply@paypal.com
件名:Important (この後に、スペースとランダムな文字)
[“Problems with your PayPal account.”という件名も使用]

Dear PayPal member,

We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.

To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.

IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.

Thank you for using PayPal.

添付ファイル(以下のいずれか)

  • www.paypal.com.pif
  • infoupdate.exe(ワーム配布時)

・添付ファイルが実行されると、以下のウインドウを表示します。

・Nextボタンがクリックされると、別のウインドウを表示します。

電子メールを介した繁殖

・W32/Mimail.j@MMは、ターゲットマシンのファイルから収集した電子メールアドレスに自身を送信します。以下の拡張子を持つファイルから抽出したアドレスは、無視します。

  • avi
  • bmp
  • cab
  • com
  • dll
  • exe
  • gif
  • jpg
  • mp3
  • mpg
  • ocx
  • pdf
  • psd
  • rar
  • tif
  • vxd
  • wav
  • zip

・以下のレジストリにクエリして、ターゲットフォルダを決定します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Shell Folders

クレジットカード情報詐取

・W32/Mimail.j@MMは、PayPal詐取で取得したクレジットカード情報をC:\PPINFO.SYSファイルで照合します。そして、以下の3つの電子メールアドレスへ取得したデータを送信します。

  • kaspersky@mail15.com
  • ekaspersky@mail15.com
  • admin@kaspersky.cjb.net

・このようにして、ターゲットマシンからサーバへのDNSクエリが発信されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のレジストリキーを追加して、システムの起動時にW32/Mimail.j@MMを実行します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "SvcHost32" = %WinDir%\svchost32.exe

・以下のファイルを作成します。

  • c:\cansend.sys
  • c:\pp.gif(Paypalアイコン)
  • c:\pp.hta(グラフィカルインターフェース)
  • c:\ppinfo.sys(ユーザのクレジットカードの詳細)
  • %WinDir%\ee98af.tmp(ワームのコピー)
  • %WinDir%\el388.tmp(収集した電子メールアドレス)
  • %WinDir%\svchost32.exe(ワームのコピー)
  • %WinDir%\zp3891.tmp

注:%WinDir%はWindowsディレクトリ名によって変わるので、ワームはこの名前を使用するわけではありません。system %WinDir%ディレクトリを使用します。

・www.akamai.comにpingを送信して、インターネット接続がアクティブかどうかを確認します。

感染方法TOPへ戻る

・W32/Mimail.j@MMは、電子メールを介して繁殖します。手動で添付ファイルを実行すると、ローカルマシンに感染します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足