製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mimail.q@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4318
対応定義ファイル
(現在必要とされるバージョン)		4324 (現在7084)
対応エンジン4.2.40以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名I-Worm.Mimail.q (AVP): W32/Sysout.A.worm (Panda)
情報掲載日04/01/27
発見日(米国日付)04/01/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mimail.q@MMはW32/Mimail@MMの新しい亜種です。ポリモフィック型のドロッパコンポーネント(メールで送信)から構成され、メールの送信を行う別のファイル(OUTLOOK.EXE)をドロップ(作成)します。

・W32/Mimail.q@MMの特徴は以下のとおりです。

  • メッセージを作成するために自身のSMTPエンジンを内蔵
  • 送信メッセージの多様な添付ファイル
  • ターゲットマシンから宛先の電子メールアドレスを収集
  • ユーザ情報をフィッシング詐欺するワームで、偽の「Microsoft Windowsのライセンス満了」ウィンドウを表示して、ユーザにクレジットカード情報などの入力を促がします

総称による検出

・ターゲットマシンの%WinDir%にドロップ(作成)されるメールコンポーネント(OUTLOOK.EXE)は、定義ファイル4313以降でW32/Mimail.gen@MMとして検出されます。

・上記で指定したエンジンと定義ファイルでは、このコンポーネントはW32/Mimail.q@MMとして検出されます。

電子メールを介した繁殖

・W32/Mimail.q@MMは、自身のSMTPエンジンを使用して電子メールメッセージを作成します。これまで発見された亜種と同様に、大量メール送信ルーチンでは、(収集された)ターゲット電子メールアドレスのドメインをメールサーバにクエリして、ターゲットドメイン上でMX検索します。次に、SMTPサーバを介してメッセージを送信します。

・ターゲットマシンからターゲット電子メールアドレスを収集して、以下のファイルに書き込みます。

  • %WinDir%\OUTLOOK.CFG

・送信先の電子メールアドレスは、これまで発見された亜種で使用された方法と同様に、ターゲットマシンの特定のファイルから収集されます。

・初期の分析によると、 以下のような送信メッセージが作成されます。

・件名と本文:

・メッセージの件名と本文は、W32/Mimail.q@MM内の文字列から作成されます。生成する文字列はさまざまです。件名の例は以下のとおりです。

  • smart photos PRIVATE
  • Hi my sweet Nancy ...
  • sexy picture FOR YOU ONLY
  • Good evening my darling Margaret

・添付ファイル:

・32,768バイトの多様なバイナリコードで、ファイル名は異なります。ファイル名および拡張子は、W32/Mimail.q@MM内の文字列から作成されます。以下の拡張子が使用される可能性があります。

  • .SCR
  • .EXE
  • .PIF
  • .JPG.SCR
  • .JPG.PIF
  • .JPG.EXE
  • .GIF.EXE
  • .GIF.PIF
  • .GIF.SCR

データ詐取

・W32/Mimail.q@MMは、ターゲットユーザに、Microsoft Windowsのライセンスが切れることを知らせる偽のダイアログを表示します。クレジットカードの詳細情報などの個人情報を収集するために、フォーム(以下にイメージを貼り付け)が表示されます。

・このフォームのデータは、以下のファイルに書き込まれます。

  • C:\MMINFO.TXT

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・偽のエラーメッセージの表示
'ERROR: Bad CRC32' (以下を参照)

・「感染方法」に記載されているファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る
  1. インストール

    ・W32/Mimail.q@MMがターゲットマシンで実行されると、以下の偽のエラーメッセージを表示します。

    ・次に、自身の多様なコピーをWindowsディレクトリにSYS32.EXEとしてドロップ(作成)します。

    ・例:

    • C:\WINNT\SYS32.EXE (32,768バイト)

    ・以下のレジストリキーを追加して、Windowsの起動時にSYS32.EXEを実行します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion Run "System" = C\%WinDir%\SYS32.EXE

    ・もう1つのファイル(OUTLOOK.EXE)もWindowsディレクトリにドロップ(作成)されます。

    ・例:

    • C:\WINNT\OUTLOOK.EXE (50,720バイト)

    ・OUTLOOK.EXEは、ターゲットマシンで実行されます。

  2. その他の機能

    ・OUTLOOK.EXEは、「ウイルスの特徴」セクションで説明されたように、W32/Mimail.q@MMの主要な機能を含んでいます。この大量メール送信ルーチンを実行すると、Microsoft Windowsのライセンス満了を知らせる偽のウィンドウを表示して、ユーザに情報の入力を促します。

    ・以下のファイルは、フィッシング詐欺機能の一部としてC:ドライブのルートにドロップ(作成)されます。

    • C:\LOGO.JPG (1,292バイト)
    • C:\LOGOBIG.GIF (948バイト)
    • C:\MSHOME.HTA (7,178バイト)、指定のエンジン/定義ファイルでW32/Mimail.htaとして検出
    • C:\WIND.GIF (2,660バイト)

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足