製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.l@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4307
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/12/02
発見日(米国日付)03/12/01
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・AVERTは、現在、W32/Mimail.l@MMについて分析中です。詳細は、今後掲載します。

・W32/Mimail.l@MMにはバグがあるようです。AVERTのテストによると、W32/Mimail.l@MMは、常に電子メールメッセージに自身を添付して送信するわけではありません。収集したアドレスに自身を送信しないこともあります。

・W32/Mimail.l@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。大量メール送信ルーチンでは、これまでに発見された亜種と同様に、(収集した)ターゲットアドレスのドメインをメールサーバにクエリして、ターゲットドメイン上でMX検索します。次に、SMTPサーバを介してメッセージを送信します。

・W32/Mimail.l@MMは、以下のような電子メールメッセージで届きます。

送信者:"Wendy"
[以下のアドレスのいずれかを使用]

billing.authorizenet.com
billing.spamcop.net
billing.carderplanet.net
billing.cardcops.com
billing.register.com
billing.spews.org
billing.spamhaus.org

件名:Re[2]
[以下の件名も使用]

We are going to bill your credit card

Hi Greg its Wendy.

I was shocked, when I found out that it wasn't you but your twin brother!!! That's amazing, you're as like as two peas. No one in bed is better than you Greg. I remember, I remember everything very well, that promised you to tell how it was, I'll give you a call today after 9.

... omitted ...

I'm so thankful to you, for acquainted me to your brother. I think we can do it on the next Saturday all three together? What do you think? O yes, as you wanted I've made a few pictures check them out in archive, I hope they will excite you, and you will dream of our new meeting...

Wendy.

or

Good afternoon, We are going to bill your credit card for amount of $22.95 on a weekly basis. Free pack of child porn CDs is already on the way to your billing address. If you want to cancel membership and your CD pack please email order and credit card details to security@europe.spamhaus.org

Are you ready for all types of underage porn? We have the best selection for every taste!

Just click the secret links below and have fun:
http://www.spamhaus.org
http://www.spews.org
http://www.register.com
http://www.cardcops.com
http://www.carderplanet.net
http://www.spamcop.net
http://disney.go.com
http://www.authorizenet.com/

Nude boys under 16! Nude girls under 16! Incest, a daddy & a daughter! We have everything you have ever dreamed for!

添付ファイル(以下のいずれか):

  • wendy.zip
  • test.exe(ワーム配布時)

電子メールを介した繁殖

・W32/Mimail.l@MMは、ターゲットマシンのファイルから収集した電子メールアドレスに自身を送信します。以下の拡張子を持つファイルから抽出したアドレスは、無視します。

  • avi
  • bmp
  • cab
  • com
  • dll
  • exe
  • gif
  • jpg
  • mp3
  • mpg
  • ocx
  • pdf
  • psd
  • rar
  • tif
  • vxd
  • wav
  • zip

・以下のレジストリにクエリして、ターゲットフォルダを決定します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Shell Folders

サービス拒否発病ルーチン

・W32/Mimail.l@MMは、以下のドメインにICMPトラフィックとHTTPトラフィックでサービス拒否攻撃を仕掛けます。

  • www.authorizenet.com
  • disney.go.com
  • www.spamcop.net
  • www.carderplanet.net
  • www.cardcops.com
  • www.register.com
  • www.spews.org
  • www.spamhaus.org

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Mimail.l@MMは以下のレジストリキーを追加して、起動時に自身を実行します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "France" = %WinDir%\svchost.exe

・以下のファイルを作成します。

  • %WinDir%\x8wui12s.tmp(圧縮されたワームのコピー)
  • %WinDir%\xu298da.tmp(収集された電子メールアドレス)
  • %WinDir%\svchost.exe(ワームのコピー)
  • %WinDir%\xu39reu.tmp(ワームのコピー)

注:%WinDir%はWindowsディレクトリ名によって変わるので、ワームはこの名前を使用するわけではありません。system %WinDir%ディレクトリを使用します。

www.register.comにpingを送信して、インターネット接続がアクティブかどうかを確認します。

感染方法TOPへ戻る

・W32/Mimail.l@MMは、電子メールを介して繁殖します。手動で添付ファイルを実行すると、ローカルマシンに感染します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足