ウイルス情報

ウイルス名 危険度

W32/Mimail.i@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4304
対応定義ファイル
(現在必要とされるバージョン)
4324 (現在7656)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 W32.Paylap@mm (NAV)
情報掲載日 03/11/14
発見日(米国日付) 03/11/14
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年11月20日更新情報
感染報告が減少傾向にあるため、危険度を「低:要注意」に下げました。

・これはW32/Mimail.gen@MM ウイルスの新種で、以下に示す画像のような偽のPayPalメッセージを表示してクレジットカード情報を盗もうとします。クレジットカード情報は「ppinfo.sys」という名前のファイルに保存され、決め打ちされた4つのメールアドレスに送信されます。

・ワームは、内蔵されたSMTPエンジンを使用してメールメッセージを作成します。既出の亜種と同様、メールルーチンがメールサーバへ、取り出されたターゲットアドレスに関連するドメインのクエリー(データベースへの検索要求)をします。これはターゲットとなるドメイン上のMX検索を経由して決められます。その後、作成されたメッセージがSMTPサーバを通じて送信されます。

・受信されるメールは以下のような内容で届きます。

宛先:
差出人:"PayPal.com" donotreply@paypal.com
件名:YOUR PAYPAL.COM ACCOUNT EXPIRES

Dear PayPal member,

PayPal would like to inform you about some important information regarding your PayPal account. This account, which is associated with the email address will be expiring within five business days. We apologize for any inconvenience that this may cause, but this is occurring because all of our customers are required to update their account settings with their personal information. We are taking these actions because we are implementing a new security policy on our website to insure everyone's absolute privacy. To avoid any interruption in PayPal services then you will need to run the application that we have sent with this email (see attachment) and follow the instructions. Please do not send your personal information through email, as it will not be as secure. IMPORTANT! If you do not update your information with our secure application within the next five business days then we will be forced to deactivate your account and you will not be able to use your PayPal account any longer. It is strongly recommended that you take a few minutes out of your busy day and complete this now. DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated message system and the reply will not be received. Thank you for using PayPal

添付ファイル:(以下のいずれか)

・paypal.asp.scr
・www.paypal.com.scr

添付ファイルが実行されると、以下のようなウィンドウを表示します。



■メール繁殖

・ターゲットとなるメールアドレスは、感染マシン上のファイルから取り出されます。以下の拡張子をもつファイルから抽出したアドレスは無視します。

・avi
・bmp
・cab
・com
・dll
・exe
・gif
・jpg
・mp3
・mpg
・ocx
・pdf
・psd
・rar
・tif
・vxd
・wav
・zip

・ターゲットとなるフォルダは、クエリーされた以下のレジストリーによって決められます。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders

■クレジットカード情報の詐取

・PayPal詐取によって盗み取られたクレジットカード情報はCドライブのPPINFO.SYS内で照合されます。そしてファイル本文内の、暗号化されている4つのメールアドレスへデータの送信を試みます。

・mystics@mail15.com
・need4cc@mail15.com
・nakayamo@centrum.cz
・cccash@centrum.cz

・上記のようにして、感染マシンからこのサーバの送信DNSクエリーが発行されます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・スタートアップ時にウイルスを起動するために、以下のレジストリキーが追加されます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SvcHost32" = C:\WINDOWS\svchost32.exe

以下のファイルが追加されます。

●c:\pp.gif (paypalアイコン)
● c:\pp.hta (画像)
● c:\ppinfo.sys (クレジットカードの詳細)
● %WinDir%\ee98af.tmp (ワームのコピー)
● %WinDir%\el388.tmp (抽出されたメールアドレス)
● %WinDir%\svchost32.exe (ワームのコピー)
● %WinDir%\zp3891.tmp

・%WinDir% は、ウィンドウズディレクトリ名によって変わります。ワームは単にシステム%WinDir% ディレクトリを使用します。

・ワームは、www.akamai.comに接続されているか確認することによって、インターネット接続が有効になっているかどうかチェックします。

TOPへ戻る

感染方法

・このウイルスはメールを介して繁殖します。手動で添付ファイルを起動するとローカルマシンに感染します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

・駆除ツールStnger(ver1.9.4)がこのウイルスに対応しています。ダウンロードはこちら

手動で駆除する場合
1.Win9x/MEの場合 - システムをセーフモードで再起動します。 (電源を入れて、Windows開始の文章が画面に現れたらすぐにF8キーを押し、そこでセーフモードを選びます。)
- WinNT/2K/XPの場合 - プロセスを終了させる。SVCHOST32.EXE

2.以下のファイルをウィンドウズディレクトリから削除します(通常はc:\windowsまたはc:\winnt)。
・SVCHOST32.EXE
・ EE98AF.TMP
・ EL388.TMP

3.レジストリの編集 - "SvcHost32"の値を以下の場所から削除する。
●HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下のファイルを削除する(クレジットカード情報に含まれている)
●C:\PPINFO.SYS

Snifferユーザの方
・Snifferフィルタで、Mimail.iのトラフィックを探索することができます。
(Sniffer Distributed 4.1/4.2/4.3, Sniffer Portable 4.7/4.7.5, Netasyst用)
Snifferフィルタをダウンロード

TOPへ戻る