ウイルス情報

ウイルス名 危険度

W32/Mimail.q@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4318
対応定義ファイル
(現在必要とされるバージョン)
4324 (現在7659)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Mimail.q (AVP): W32/Sysout.A.worm (Panda)
情報掲載日 04/01/27
発見日(米国日付) 04/01/26
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Mimail.q@MMはW32/Mimail@MMの新しい亜種です。ポリモフィック型のドロッパコンポーネント(メールで送信)から構成され、メールの送信を行う別のファイル(OUTLOOK.EXE)をドロップ(作成)します。

・W32/Mimail.q@MMの特徴は以下のとおりです。

  • メッセージを作成するために自身のSMTPエンジンを内蔵
  • 送信メッセージの多様な添付ファイル
  • ターゲットマシンから宛先の電子メールアドレスを収集
  • ユーザ情報をフィッシング詐欺するワームで、偽の「Microsoft Windowsのライセンス満了」ウィンドウを表示して、ユーザにクレジットカード情報などの入力を促がします

総称による検出

・ターゲットマシンの%WinDir%にドロップ(作成)されるメールコンポーネント(OUTLOOK.EXE)は、定義ファイル4313以降でW32/Mimail.gen@MMとして検出されます。

・上記で指定したエンジンと定義ファイルでは、このコンポーネントはW32/Mimail.q@MMとして検出されます。

電子メールを介した繁殖

・W32/Mimail.q@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。これまで発見された亜種と同様に、大量メール送信ルーチンでは、(収集された)ターゲット電子メールアドレスのドメインをメールサーバにクエリして、ターゲットドメイン上でMX検索します。次に、SMTPサーバを介してメッセージを送信します。

・ターゲットマシンからターゲット電子メールアドレスを収集して、以下のファイルに書き込みます。

  • %WinDir%\OUTLOOK.CFG

・送信先の電子メールアドレスは、これまで発見された亜種で使用された方法と同様に、ターゲットマシンの特定のファイルから収集されます。

・初期の分析によると、 以下のような送信メッセージが作成されます。

・件名と本文:

・メッセージの件名と本文は、W32/Mimail.q@MM内の文字列から作成されます。生成する文字列はさまざまです。件名の例は以下のとおりです。

  • smart photos PRIVATE
  • Hi my sweet Nancy ...
  • sexy picture FOR YOU ONLY
  • Good evening my darling Margaret

・添付ファイル:

・32,768バイトの多様なバイナリコードで、ファイル名は異なります。ファイル名および拡張子は、W32/Mimail.q@MM内の文字列から作成されます。以下の拡張子が使用される可能性があります。

  • .SCR
  • .EXE
  • .PIF
  • .JPG.SCR
  • .JPG.PIF
  • .JPG.EXE
  • .GIF.EXE
  • .GIF.PIF
  • .GIF.SCR

データ詐取

・W32/Mimail.q@MMは、ターゲットユーザに、Microsoft Windowsのライセンスが切れることを知らせる偽のダイアログを表示します。クレジットカードの詳細情報などの個人情報を収集するために、フォーム(以下にイメージを貼り付け)が表示されます。

・このフォームのデータは、以下のファイルに書き込まれます。

  • C:\MMINFO.TXT

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・偽のエラーメッセージの表示
'ERROR: Bad CRC32' (以下を参照)

・「感染方法」に記載されているファイルおよびレジストリキーが存在します。

TOPへ戻る

感染方法

  1. インストール

    ・W32/Mimail.q@MMがターゲットマシンで実行されると、以下の偽のエラーメッセージを表示します。

    ・次に、自身の多様なコピーをWindowsディレクトリにSYS32.EXEとしてドロップ(作成)します。

    ・例:

    • C:\WINNT\SYS32.EXE (32,768バイト)

    ・以下のレジストリキーを追加して、Windowsの起動時にSYS32.EXEを実行します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion Run "System" = C\%WinDir%\SYS32.EXE

    ・もう1つのファイル(OUTLOOK.EXE)もWindowsディレクトリにドロップ(作成)されます。

    ・例:

    • C:\WINNT\OUTLOOK.EXE (50,720バイト)

    ・OUTLOOK.EXEは、ターゲットマシンで実行されます。

  2. その他の機能

    ・OUTLOOK.EXEは、「ウイルスの特徴」セクションで説明されたように、W32/Mimail.q@MMの主要な機能を含んでいます。この大量メール送信ルーチンを実行すると、Microsoft Windowsのライセンス満了を知らせる偽のウィンドウを表示して、ユーザに情報の入力を促します。

    ・以下のファイルは、フィッシング詐欺機能の一部としてC:ドライブのルートにドロップ(作成)されます。

    • C:\LOGO.JPG (1,292バイト)
    • C:\LOGOBIG.GIF (948バイト)
    • C:\MSHOME.HTA (7,178バイト)、指定のエンジン/定義ファイルでW32/Mimail.htaとして検出
    • C:\WIND.GIF (2,660バイト)

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る