製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.p@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4313
対応定義ファイル
(現在必要とされるバージョン)
4326 (現在7535)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/01/08
発見日(米国日付)04/01/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/18W32/Expiro!7...
08/18GenericR-AXH...
08/18Generic.dx!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7535
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2004年1月7日更新情報 --

・W32/Mimail.p@MMは、以下のメディアの注目を集めたので、危険度を“低〔要注意〕”にしました。

・W32/Mimail.p@MMは大量メール送信型ワーム(MSVCで作成)で、W32/Mimail@MMの新しい亜種です。AVERTはUPXで圧縮されたものと圧縮されていないものとの両方のサンプルを受信しました。

・AVERTの初期の分析では、W32/Mimail.p@MMは以下の性質を持っています。

  • 自身のSMTPエンジンを使用してメッセージを作成し、ターゲットマシンから収集したターゲット電子メールに送信します。
  • 送信メッセージにこのワームがZIPファイル(PP-APP.ZIP)形式で添付されます。このメッセージは信者をだましてPayPalから送信されたものだと思わせるように作成されています。
  • ターゲットの詳細(クレジットカード番号など)はターゲットマシンから収集されます(W32/Mimail.j@MMと類似)。

電子メールを介した繁殖

・W32/Mimail.p@MMは感染したコンピュータで検出されたアドレスに自身を電子メールで送信します。送信先アドレスはターゲットマシンのファイルから収集されます。これまでの亜種については、ターゲットフォルダは以下のレジストリキーをクエリすることで決定されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Shell Folders

・AVERTの分析では、W32/Mimail.p@MMが電子メール送信を介して自身を複製することの確認は継続中です。

送信者:GREAT NEW YEAR OFFER FROM PAYPAL.COM!
添付ファイル:PP-APP.ZIP (ランダムにEXEの文字が含まれたファイル名)
本文:
*** GREAT NEW YEAR OFFER FROM PAYPAL.COM ***

Dear PayPal.com Member,

We here at PayPal.com are pleased to announce that we have a special New Year offer for you!

If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)!

If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus!  If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created.

That's not all!  If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus.  If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account!

Registration is simple.  Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided.  If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com

Do not miss your chance at this fantastic opportunity!  Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer!

Best of luck in the New Year,
PayPal.com Team

Dear PayPal.com Member,

We here at PayPal.com are pleased to announce that we have a special New Year offer for you!

If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)!

If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus!  If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created.

That's not all!  If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus.  If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account!

Registration is simple.  Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided.  If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com

Do not miss your chance at this fantastic opportunity!  Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer!

Best of luck in the New Year,
PayPal.com Team

Dear PayPal.com Member,

We here at PayPal.com are pleased to announce that we have a special New Year offer for you!

If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)!

If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus!  If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created.

That's not all!  If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus.  If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account!

Registration is simple.  Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided.  If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com

Do not miss your chance at this fantastic opportunity!  Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer!

Best of luck in the New Year,
PayPal.com Team

PayPalスキャン

・W32/Mimail.p@MMが実行されると、以下のウィンドウが表示されます。

・このフォームが完了すると、データが以下のファイルに書き込まれます。

  • C:\TMPNY3.TXT

・次に、以下のウィンドウが表示されます。

・このフォームのデータは以下のファイルに暗号化されて書き込まれます。

  • C:\TMPENC.TXT

・最後に、確認画面が表示されます。

情報詐取

・PayPalスキャンのターゲットは、自身のクレジットカード情報を上記のCドライブのルートにあるファイルと照合します。

・TMPNY3.TXTにはクレジットカードの詳細が含まれています。AVERTの初期の分析では、電子メールを介してW32/Mimail.p@MMにハードコート化された電子メールアドレスに送信されます。

・TMPENC.TXTにはDOB、アドレスなどの情報(暗号化済み)が含まれています。このデータはHTTPを介して通知され、リモートPHPスクリプトによって処理されます。

・ほかのデータ(RASの詳細、パスワード、e-goldの情報−現在分析中)もターゲットマシンから収集されます。HTTPを介して通知され、リモートPHPスクリプトによって処理されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Mimail.p@MMは、以下のように%WinDir%にWINMGR32.EXEというファイル名で自身をインストールします。
  • C:\WINNT\WINMGR32.EXE

・以下のレジストリキーが追加されて、システムの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Run "WinMgr32" = %WinDir%\WINMGR32.EXE

・以下のファイルも作成されます(ワームによって削除されるファイルもあります)。

  • C:\TMPENC.TXT(収集されたフォーム情報−上記参照)
  • C:\TMPNY3.TXT(収集されたフォーム情報−上記参照)
  • %WinDir%\EE98AF.TMP(ワームのコピー)
  • %WinDir%\OUTLOOK.CFG(収集された電子メールアドレス)
  • %WinDir%\ZIPZIP.TMP(ワームを含むZIPアーカイブ)

注:%WinDir%はWindowsディレクトリ名によって変わるので、ワームはこの名前を使用するわけではありません。system %WinDir%ディレクトリを使用します

・www.google.comにpingを送信して、インターネット接続がアクティブかどうかを確認します。

・Internet Explorerのデフォルトのスタートページが以下に設定されます。

http://www.anvari.org/db/fun/World_Trade_Center/Bush_Monkey.jpg

感染方法TOPへ戻る

・W32/Mimail.p@MMは電子メールを介して繁殖し、ZIP形式の添付ファイル内の実行ファイルを実行することで、ローカルマシンに感染します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足