McAfee for Small Businesses

・環境によっては4192以上のウイルス定義ファイルと、4.1.60エンジンでこのウイルスを検出できます。その際の検出名はExploit-CodeBaseです。

・W32/Mimail@MMは、メッセージの構造が数日前に送信された迷惑メールDownloader-DKに似ています。W32/Mimail@MMも同様に迷惑メールとして送信された可能性があります。このウイルスは以下のようなメールで受信されます。

送信者：Admin (ADMIN@your_doamin)
件名：your account %user%
重要度：高

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

--- Best regards, Administrator

添付ファイル：message.zip

・添付されたZIPファイルにはMESSAGE.HTMを含みます。このファイルは、Temporary Internet Filesフォルダにfoo.exe ファイルを自動的に作成し実行するために、コードベースエクスプロイトを利用します。以下のファイルがウィンドウズディレクトリに作成されます。

videodrv.exe (19,824 バイト)
exe.tmp (20,445 バイト)
zip.tmp (20,567 バイト)

・スタートアップ時にワームをロードするために、以下のレジストリランキーが作成されます。

・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VideoDriver" = C:\WINNT\videodrv.exe

・ウイルスはまず最初に、google.comへのコンタクトを試みることでシステムがインターネットに接続されているか確認します。接続が確認できると、ローカルシステムからメールアドレスを取得しようとします。そしてシステム内のファイルの拡張子をチェックし、以下のファイル拡張子と一致しない場合はメールアドレスを解析します。

avi
bmp
cab
com
dll
exe
gif
jpg
mp3
mpg
ocx
pdf
psd
rar
tif
vxd
wav
zip

・発見されたアドレスはウィンドウズディレクトリ内のeml.tmpファイルに保存されます。

・追加のレジストリキーが作成されます。

・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Code Store Database\Distribution Units\
{11111111-1111-1111-1111-111111111111}