ウイルス情報

ウイルス名 危険度

W32/Mimail@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4282
対応定義ファイル
(現在必要とされるバージョン)
4308 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
亜種 Mimail (F-Secure) :W32.Mimail.A@mm (Symantec) :WORM_MIMAIL.A (Trend)
情報掲載日 03/08/02
発見日(米国日付) 03/08/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・環境によっては4192以上のウイルス定義ファイルと、4.1.60エンジンでこのウイルスを検出できます。その際の検出名はExploit-CodeBaseです。

・W32/Mimail@MMは、メッセージの構造が数日前に送信された迷惑メールDownloader-DKに似ています。W32/Mimail@MMも同様に迷惑メールとして送信された可能性があります。このウイルスは以下のようなメールで受信されます。

送信者:Admin (ADMIN@your_doamin)
件名:your account %user%
重要度:

Hello there,

I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

--- Best regards, Administrator

添付ファイル:message.zip

・添付されたZIPファイルにはMESSAGE.HTMを含みます。このファイルは、Temporary Internet Filesフォルダにfoo.exe ファイルを自動的に作成し実行するために、コードベースエクスプロイトを利用します。以下のファイルがウィンドウズディレクトリに作成されます。

videodrv.exe (19,824 バイト)
exe.tmp (20,445 バイト)
zip.tmp (20,567 バイト)

・スタートアップ時にワームをロードするために、以下のレジストリランキーが作成されます。

・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "VideoDriver" = C:\WINNT\videodrv.exe

・ウイルスはまず最初に、google.comへのコンタクトを試みることでシステムがインターネットに接続されているか確認します。接続が確認できると、ローカルシステムからメールアドレスを取得しようとします。そしてシステム内のファイルの拡張子をチェックし、以下のファイル拡張子と一致しない場合はメールアドレスを解析します。

avi
bmp
cab
com
dll
exe
gif
jpg
mp3
mpg
ocx
pdf
psd
rar
tif
vxd
wav
zip

・発見されたアドレスはウィンドウズディレクトリ内のeml.tmpファイルに保存されます。

・追加のレジストリキーが作成されます。

・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Code Store Database\Distribution Units\
{11111111-1111-1111-1111-111111111111}

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・以下のファイルがウィンドウズディレクトリに存在する

・videodrv.exe
eml.tmp
exe.tmp
zip.tmp

TOPへ戻る

感染方法

・大量メール送信型ワームは、数千のメールアドレスに対して迷惑メールを送信します。ワームが起動すると、ローカルシステム内で発見されたメールアドレスを抽出し、そのメールアドレスに自身を送信します。

・メールルーチンは、抽出されたメールアドレスに関連するドメインのメールサーバに対してクエリーを試みます。メッセージはSMTPサーバを通じて送信されます。コードも同様にIPアドレス212.5.86.163を参照するように作成され、list.ruを通じてメール送信されます。

TOPへ戻る


駆除方法

・4282ウイルス定義ファイルで検出・除去できます。

Stingerでこのウイルスが検出・除去できるようにアップデートされました。


手動で除去する場合

1.
Win9x/ME:「セーフモード」(ウィンドウズテキスト表示中にF8キーを押し、Safe Modeを選択)でシステムを再起動します。
WinNT/2K/XP:videodrv.exeのプロセスを終了します

2.ウィンドウズディレクトリから以下のファイルを削除します。(通常はc:\windows または c:\winnt)

videodrv.exe
eml.tmp
exe.tmp
zip.tmp

3.レジストリを編集します。

・以下の場所から'VideoDriver'の値を削除。
・HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

{11111111-1111-1111-1111-111111111111}キーを以下の場所から削除。

・HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units

4.システムを再起動

TOPへ戻る