ウイルス情報

ウイルス名 危険度

W32/Mimail.e@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4301
対応定義ファイル
(現在必要とされるバージョン)
4376 (現在7659)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Mimail.e (AVP)
情報掲載日 03/11/04
発見日(米国日付) 03/11/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Mimail.e@MMは、定義ファイル4301でW32/Mimail.gen@MM(特定のワーム名ではなく、ワームの総称です)として検出されます。W32/Mimail.e@MM は、W32/Mimail.c@MM に非常によく似ています。

・W32/Mimail.e@MMは大量メール送信型ワームです。.ZIPファイルで繁殖し、サービス拒否攻撃を仕掛けます。

・W32/Mimail.e@MMの主な特徴は以下のとおりです。

  • メッセージを作成する、自身のSMTPを内臓
  • Zip形式の添付ファイルで自身を送信
  • ローカルマシンから電子メールアドレスを収集
  • リモートサーバへ大量の(ゴミ)データを送信:DoS(サービス拒否)攻撃(下記参照)

・圧縮ファイルのスキャンを常時有効にしてください。

電子メールを介した繁殖

・W32/Mimail.e@MMは、ターゲットマシンから電子メールアドレスを収集します。W32/Mimail.e@MMは、以下の拡張子をもつファイルから抽出したアドレスは無視します。

  • avi
  • bmp
  • cab
  • com
  • dll
  • exe
  • gif
  • jpg
  • mp3
  • mpg
  • ocx
  • pdf
  • psd
  • rar
  • tif
  • vxd
  • wav
  • zip

・W32/Mimail.e@MMは、%WinDir%ディレクトリ(例:c:\windows)のEML.TMPファイルに収集したアドレスを書き込みます。AVERTのテストでは、W32/Mimail.e@MMは有効アドレスの識別があいまいなため、無効な宛先にメッセージを送信する可能性が高いと考えられます。

・W32/Mimail.e@MMは、自身のSMTPエンジンを使用して、以下のような電子メールメッセージを送信します。

件名: don't be late!(この後に、スペースとランダムな文字)
Attachment : readnow.zip(10,912バイト。10,784バイトのreadnow.doc.scrファイルを含む)

本文:
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,

so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.

(件名の末尾と同じランダムな文字)

・送信メッセージの送信者は、以下のように偽造されます。

  • john@(ターゲットドメイン.com)
    例:
    • john@abc.com
    • john@xyz.com など

・W32/Mimail.e@MMは、これまでに発見された亜種と同様に、大量メール送信ルーチン実行時に、(収集した)ターゲットアドレスのドメインをメールサーバにクエリーします。その後、SMTPサーバを介して、メッセージを送信します。W32/Mimail.e@MMは、ハードコード化されたIPアドレス(212.5.86.163)を含んでいます。

サービス拒否

・W32/Mimail.e@MMは、大量のデータをリモートサーバ(ポート80とICMP)へ送信します。www.google.comに接続して、接続がアクティブかどうかを確認します。接続がアクティブな場合は、以下のドメインに対してサービス拒否攻撃を開始します。

  • spews.org
  • spamhaus.org
  • spamcop.net
  • www.spews.org
  • www.spamhaus.org
  • www.spamcop.net

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

cnfrm.exeファイル(10,784バイト)が存在します。

・上記のメッセージが送信されます。

・大量のデータがリモートサーバのポート80へ送信されます。

TOPへ戻る

感染方法

・W32/Mimail.e@MMがターゲットマシンで実行されると、%WinDir%ディレクトリにcnfrm.exeというファイル名で自身をインストールします。

例:

  • C:\WINNT\cnfrm.exe(10,784バイト)

・以下の3つのファイルも%WinDir%ディレクトリに落とし込みます。

  • %WinDir%\EML.TMP:ターゲットマシンから収集した電子メールアドレスのリストを含む
  • %WinDir%\EXE.TMP:ワームのコピー
  • %WinDir%\ZIP.TMP:ワームを含むZIPアーカイブ

・以下のレジストリキーでシステムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "Cnfrm32" = C:\WINNT\cnfrm.exe

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る