製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.m@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4307
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7401)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日03/12/04
発見日(米国日付)03/12/03
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
・W32/Mimail.m@MMは、定義ファイル4307を使用して圧縮実行ファイルをスキャンすることで検出されます(デフォルトのスキャンオプション)。W32/Mimail.gen@MMというファイル名で検出されます。

・W32/Mimail.m@MMは大量メール送信型ワームで、初期段階の感染時に多数の電子メールの宛先にスパムメールを送信します。

・W32/Mimail.m@MMはW32/Mimail@MMの亜種でバグがあるようです。AVERTのテストでは、収集したアドレスに自身を送信しませんでした。

・W32/Mimail.m@MMは自身のSMTPエンジンを使用して電子メールメッセージを作成します。これまでの亜種と同様に、大量メール送信ルーチンでは、(収集された)ターゲットアドレスのドメインをクエリし、ターゲットドメイン上でMX検索します。次に、SMTPサーバを介してメッセージを送信します。

・以下のような電子メールメッセージで届きます。

送信者:"Wendy"
[別の名前で拡散します]

件名:Re[3] (多数のスペースとランダムな文字が並びます)
[以下の件名で拡散します]

Hello Greg,

I was shocked, when I found out that it wasn't you but your twin brother!!! That's amazing, you're as like as two peas. No one in bed is better than you Greg. I remember, I remember everything very well, that promised you to tell how it was, I'll give you a call today after 9.

... omitted ...

I'm so thankful to you, for acquainted me to your brother. I think we can do it on the next Saturday all three together? What do you think? O yes, as you wanted I've made a few pictures check them out in archive, I hope they will excite you, and you will dream of our new meeting...

Wendy.

この大量送信されるメッセージには以下のテキストも含まれます。

For unzip archiver download WinZip: http://download.winzip.com/winzip81.exe
Password for archive is "kiss".

添付ファイル(以下のいずれか):

  • wendy.zip(パスワード保護されており、W32/Mimail.m@MMの感染を介して発見されます)
  • only_for_greg.zip(for_greg.jpg.exeを含んでいます)

電子メールを介した繁殖

・W32/Mimail.m@MMは、感染したコンピュータで検出されたアドレスに自身を電子メールで送信します。送信先アドレスはターゲットマシンのファイルから収集されます。W32/Mimail.m@MMは、以下の拡張子を持つファイルから抽出されたアドレスを無視します。

  • avi
  • bmp
  • cab
  • com
  • dll
  • exe
  • gif
  • jpg
  • mp3
  • mpg
  • ocx
  • pdf
  • psd
  • rar
  • tif
  • vxd
  • wav
  • zip

・宛先フォルダは以下のレジストリキーをクエリすることで決定されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Shell Folders

サービス拒否(DoS)発病ルーチン

・W32/Mimail.m@MMは、ICMPやHTTPトラフィックを介して、以下のドメインでサービス拒否(DoS)を実行しようとします。

  • darkprofits.ws
  • darkprofits.cc
  • darkprofits.net
  • darkprofits.com
  • www.darkprofits.ws
  • www.darkprofits.cc
  • www.darkprofits.net
  • www.darkprofits.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・以下のレジストリキーが追加され、起動時にW32/Mimail.m@MMを実行します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "NetMon" = %WinDir%\netmon.exe

・W32/Mimail.m@MMは以下のファイルを作成します。

  • %WinDir%\msi2.tmp(W32/Mimail.m@MMの圧縮されたコピー)
  • %WinDir%\xjwu2.tmp(収集された電子メールアドレス)
  • %WinDir%\netmon.exe(W32/Mimail.m@MMのコピー)
  • %WinDir%\nji2.tmp(W32/Mimail.m@MMのコピー)

・注:%WinDir%はWindowsディレクトリ名によって異なるので、W32/Mimail.m@MMはこの名前を使用しません。System%WinDir%ディレクトリを使用します。

・W32/Mimail.m@MMはwww.register.comにPingを実行することで、インターネット接続が有効であることを確認します。

感染方法TOPへ戻る
・W32/Mimail.m@MMは電子メールを介して繁殖します。添付ファイルを手動で実行することで、ローカルマシンに感染します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足