ウイルス情報

ウイルス名 危険度

W32/Mimail.c@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4301
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.WatchNet (AVP)
W32/Bics@MM
情報掲載日 03/11/01
発見日(米国日付) 03/10/31
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年11月5日更新情報
感染報告が減少傾向にあるため、危険度を「低:要注意」に下げました。

・このワームは大量に迷惑メールを送信します。undelivered.htaという名前の添付ファイル(4250ウイルス定義ファイルでDownloader-BO.dr として検出済)はハードディスクにmware.exe ファイルを作成します。この実行ファイルがW32/Mimail.c@MM ウイルスです。htaファイルが起動すると、以下のメッセージが表示されます。

Your message will be sent again in 1 hour. If it doesn't arrive - we will delete it from queue.

・この大量メール送信型ワームは。ZIPファイルとして繁殖し、サービス拒否と情報詐取ペイロードを内包しています。

・このワームはW32/Mimail@MMと似ています。しかし、W32/Mimail@MMのようにコードベース (MS02-015)とMHTML (MS03-014 ) を悪用することはありません。

・このウイルスの主な特徴は以下のとおり

・メッセージ作成用のSMTPエンジンを内蔵している。
・ZIP形式の添付ファイルとしてウイルス自身を送信
・ローカルマシンからメールアドレスを取り出す。
・リモートサーバに大量のごみメールを送信 - サービス拒否ペイロードを示唆(詳細は以下)
・情報をキャプチャし、それを4つのアドレスに送信。

・圧縮ファイルのスキャンは、オプション検出を有効にしておく必要があります。

大量メール送信

・ターゲットとなるメールアドレスは、感染マシン上のファイルから抽出されます。ワームは以下の拡張子を含むファイルは無視します。

・avi
・ bmp
・ cab
・ com
・ dll
・ exe
・ gif
・ jpg
・ mp3
・ mpg
・ ocx
・ pdf
・ psd
・ rar
・ tif
・ vxd
・ wav
・ zip

・抽出されたアドレスはウィンドウズディレクトリにあるEML.TMP に書き込まれます。有効なメールアドレスの特定があまりにずさんなので、メッセージが無効な受信者に対して送信される可能性があります。

・送信メッセージは内蔵されたワームのSMTPエンジンによって作成されます。内容は以下のとおり。

件名:Re[2]: our private photos (さらに、スペースが追加され、ランダムに選ばれた文字が入る)
添付ファイル:PHOTOS.JPG.EXEファイル (12,832バイト)を含むPHOTOS.ZIPファイル (12,958バイト)
本文:
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)

Right now enjoy the photos.
Kiss, James. (ランダムに選ばれた文字-件名の最後の文字と同様)

・メッセージは以下のX-headersで作成されます。

X-Mailer: The Bat! (v1.62)
X-Priority: 1 (High)

・送信メッセージの「送信者」は以下のようになりすまします。

・james@(ターゲットとなるドメイン:例 james@abc.com、james@xyz.com、etc )

・メールルーチンは、ターゲットとなる(抽出された)アドレスに関連するドメインのメールサーバをクエリーします。そしてSMTPサーバを通じて送信されます。そのため、ワームは決められたIPアドレス (212.5.86.163)を含んでいます。

サービス拒否

・ワームはリモートサーバ(ポート80とICMP). に大量のデータを送信します。ワームはwww.google.comによるコンタクトが動作中かどうか検証します。

・darkprofits.net
・ darkprofits.com
・ www.darkprofits.net
・ www.darkprofits.com

・ワームはMSVCで書かれています。AVERTが受け取ったサンプルはUPX 圧縮されていました。

情報詐取ペイロード

・以下のメールアドレスはウイルスの本文内で暗号化されており、キャプチャされた情報を以下のメールアドレスに送信しているようです。

・omnibbb@gmx.net
・ drbz@mail15.com
・ omnibcd@gmx.net
・ kxva@mail15.com

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下の感染方法に書いてあるファイルとレジストリキーガ存在する。

・送信メッセージが上記のものと一致する

・大量のデータが、リモートサーバのポート80に送信されている。

TOPへ戻る

感染方法

・ワームが感染マシンで起動すると、ワーム自身をNETWATCH.EXEとしてウィンドウズディレクトリにインストールします。

・例: C:\WINNT\NETWATCH.EXE (12,832バイト)

・以下のファイルも同様にウィンドウズディレクトリに落とし込まれます。

●%WinDir%\EML.TMP - 感染マシンから抽出したメールアドレスのリストが含まれている。
●%WinDir%\EXE.TMP - ワームのコピー
●%WinDir%\ZIP.TMP - ワームを内包したZIPアーカイブ

・以下のレジストリキー経由でシステムスタートアップがフックされます。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "NetWatch32" = C:\WINNT\NETWATCH.EXE

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

・アップデートされたウイルス駆除ツールStingerがこのウイルスに対応しています。


手動で駆除する場合

1.Win9x/MEの場合 - システムをセーフモードで再起動します。
(電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
WinNT/2K/XPの場合 - プロセスを終了させる。NETWATCH.EXE

2.以下のファイルをウィンドウズディレクトリから削除します(通常はc:\windowsまたはc:\winnt)。
・NETWATCH.EXE
・ EXE.TMP
・ EML.TMP

3.レジストリの編集 - "NetWatch32"の値を以下の場所から削除する。
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run


Snifferユーザの方 - こちらからフィルタをダウンロードできます。
[Sniffer Distributed 4.1/4.2/4.3およびSniffer Portable 4.7/4.7.5, Netasyst用]

TOPへ戻る