|
|
ウイルス情報 |
| ウイルスの特徴 | TOPに戻る | |
・W32/Mydoom.ab@MMは大量メール送信型ワームです。特徴は以下のとおりです。
- 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
- ターゲットマシンから電子メールアドレスを収集します。
- 送信メッセージの差出人ヘッダーを擬装します。
- HTTPでBackDoor-CEB.eをダウンロードします。
- ICQネットワークを介してリンクとして自身を送信します。
- セキュリティサービスを停止します。
・W32/Mydoom.ab@MMは、以下のような電子メールメッセージで届きます。
差出人:(擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。
差出人のアドレスは、ウイルス本体にハードコード化された一般的な名前と電子メールドメインのリストから作成されます。電子メールの差出人のアドレスの擬装に使用される電子メールドメインのリストは以下のとおりです。
- @1access.net
- @a1isp.net
- @accessus.net
- @address.com
- @ameralinx.net
- @aol.com
- @apci.net
- @arczip.com
- @aristotle.net
- @att.net
- @cableone.net
- @cais.com
- @canada.com
- @cayuse.net
- @ccp.com
- @ccpc.net
- @chello.com
- @compuserve.com
- @core.com
- @cox.net
- @cybernex.net
- @dailymail.co.uk
- @dialupnet.com
- @earthlink.net
- @eclipse.net
- @eisa.com
- @ev1.net
- @excite.com
- @fast.net
- @fcc.net
- @flex.com
- @gbronline.com
- @globalbiz.net
- @globetrotter.net
- @gmx.net
- @highstream.net
- @hiwaay.net
- @hotmail.com
- @ieway.com
- @inext.fr
- @infoave.net
- @iquest.net
- @isp.com
- @ispwest.com
- @istep.com
- @juno.com
- @loa.com
- @macconnect.com
- @madriver.com
- @mail.com
- @msn.com
- @nccw.net
- @netcenter.com
- @netrox.net
- @netzero.net
- @pacific.net.sg
- @palm.net
- @pathlink.com
- @peoplepc.com
- @pics.com
- @rcn.com
- @ricochet.com
- @surfree.com
- @tiscali.com
- @toad.net
- @t-online.com
- @t-online.de
- @ultimanet.com
- @verizon.net
- @wanadoo.com
- @worldcom.com
- @worldshare.net
- @wwc.com
- @yahoo.co.uk
- @yahoo.com
- @ziplink.net
件名:(一例は以下のとおり)
- do you know this girl?
- do you know this people?
- do you know this ppl?
- Is it your photo?
- LOOK!
- my new photos
- with best wishes
- a lot of fun.
- Hello...Funny pic...hehehe
- I've never seen this before. Look at that !
- Look :)
- Hello!
- have you seen this before?
- Loool!! :-)
- fun
- fun pictures
- Re[2]:fun pictures
- Re:fun pictures
- FW:fun pictures
- Re[2]:COOL!
- Re:COOL!
- FW:COOL!
- Re[2]:cool
- Re:cool
- FW:cool
- Re[2]:
- Re:
- FW:
- :)
- :))
- FW: Cool
- LOOK!
- new photos
- 2 new photos
- hi, it's me
- it's me
- (no subject)
- that's me :-D
- my photos
- hello sweety :>
- hi
- remember me?..
- FW: jenna's photos :)
- FW: new photos
- FW: 2 new photos
- FW: hi, it's me
- FW: it's me
- FW: (no subject)
- FW: that's me :-D
- FW: my photos
- FW: hello sweety :>
- FW: hi
- FW: remember me?..
本文:(一例は以下のとおり)
- -----Original Message-----
From: Jeny K.
Sent: Monday, September 13, 2004 8:57 PM
To: Morpheus
check my new photos
:))
miss you, jeny k
- -----Original Message-----
From: Jena K.
Sent: Monday, September 13, 2004 5:23 AM
To: friends
Check Out Archive.. So.. What Do You Think... Am I Hot? :)
Waining For Your Answer
Jena Key
- -----Original Message-----
From: jenny k.
Sent: Monday, September 13, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos(archived) you asked
jenny k
- -----Original Message-----
From: jenna k. (e-mail)
Sent: Monday, September 13, 2004 11:38 AM
To: Cat
my new fotos archived ))
kiss, jenna k
- -----Original Message-----
From: Jeny
Sent: Monday, September 13, 2004 8:57 PM
To: Neo
see the photos in attached archive
:))
kiss you, jeny
- -----Original Message-----
From: Jena
Sent: Monday, September 13, 2004 5:23 AM
To: friend
Photos in archive.. So.. Am I Hot? :)
Waining For Your Answer
Jena
- -----Original Message-----
From: Jenna Knukles
Sent: Monday, September 13, 2004 9:05 AM
To: Friends Group
in self-extracting archive my photos
Jenna :)
- -----Original Message-----
From: jenna (e-mail)
Sent: Monday, September 13, 2004 11:38 AM
To: ma kittie
my photos archived ))
kiss, jenna
fun flash game!
fun flash!
game!
fun game!
Print money at home!
look at atach
- -----Original Message-----
From: Jeny K.
Sent: Monday, September 13, 2004 8:57 PM
To: Morpheus check out the new photos
:))
miss you, jeny k
- -----Original Message-----
From: Jena K.
Sent: Monday, September 13, 2004 5:23 AM
To: friends
So.. What Do You Think... Am I Hot? :)
Waining For Your Answer
Jena Key
- -----Original Message-----
From: Jenna Knukles
Sent: Monday, September 13, 2004 9:05 AM in archive my new fotos
Jenna K :)
- -----Original Message-----
From: jenny k.
Sent: Monday, September 13, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos you asked
jenny k
- -----Original Message-----
From: jenna k. (e-mail)
Sent: Monday, September 13, 2004 11:38 AM
To: Cat
my new fotos zipped ))
kiss, jenna k
- -----Original Message-----
From: Jeny
Sent: Monday, September 13, 2004 8:57 PM
To: Neo
see the photos
:))
kiss you, jeny
- -----Original Message-----
From: Jena
Sent: Monday, September 13, 2004 5:23 AM
To: friend
So.. Am I Hot? :)
Waining For Your Answer
Jena
- -----Original Message-----
From: Jenna Knukles
Sent: Monday, September 13, 2004 9:05 AM
To: Friends Group
in archive my photos
Jenna :)
- -----Original Message-----
From: jenny
Sent: Monday, September 13, 2004 10:23 AM
To: Mr.X (e-mail)
photos you asked
jenny
- -----Original Message-----
From: jenna (e-mail)
Sent: Monday, September 13, 2004 11:38 AM
To: ma kittie
my photos zipped ))
kiss, jenna
フッター:(電子メールの最後に付加。一例は以下のとおり)
- Norton AntiVirus - www.symantec.de
- F-Secure AntiVirus - www.f-secure.com
- Norman AntiVirus - www.norman.com
- Panda AntiVirus - www.pandasoftware.com
- Kaspersky AntiVirus - www.kaspersky.com
- MC-Afee AntiVirus - www.mcafee.com
- Bitdefender AntiVirus - www.bitdefender.com
- MessageLabs AntiVirus - www.messagelabs.com
添付ファイル:(一例は以下のとおり。多くの場合、ZIPファイルに圧縮されて到着)
- myfoto.exe
- photos.selfextracting.exe
- photoarchive.exe
- photofile.exe
- arc.exe
- my_foto.exe
- fotos.exe
- foto.exe
- photos.exe.safe
- photo_se.exe
- new_photos.exe
- newphotos.exe
- myphotos_arc.exe
- my_photos.exe
- photos_arc.exe
- myfoto.cpl
- photoarchive.cpl
- photofile.cpl
- arc.cpl
- my_foto.cpl
- fotos.cpl
- foto.cpl
- photo_se.cpl
- new_photos.cpl
- newphotos.cpl
- my_photos.cpl
- photos_arc.cpl
- arhive.zip
- new_pic.zip
- pic.zip
- new_photos.zip
- images.zip
- fotos.zip
- my_photos.zip
- myphotos.zip
- photos.zip
- my_photo.jpg .pif
- flowers.jpg .pif
- document.jpg .pif
- pic.jpg .pif
- photo.jpg .pif
- black.gif .pif
- DCP_0002.JPG .pif
- me_01.jpg .pif
- 2004042301.jpg .pif
- with_flowers.jpg .pif
- sunny.jpg .pif
- photo08.jpg .pif
- nude_.jpg .pif
- marie_dancing.jpg .pif
- julia038.jpg .pif
・ファイル拡張子が2つある場合、以下のように、間に複数のスペースが挿入されていることがあります。
・W32/Mydoom.ab@MMが(手動)で実行されると、service.exeというファイル名でWindowsのシステムディレクトリに自身をコピーします。
・以下のレジストリ項目を作成し、Windows起動時にフックします。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBios Ext "ImagePath" = C:\WINNT\services.exe serv
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBios Ext "ImagePath" = C:\WINNT\services.exe serv
ピアツーピアを介した繁殖
・W32/Mydoom.ab@MMはICQなどのピアツーピアネットワークを介して繁殖します。ネットワーク上では、ワームをダウンロードするためのリンクを含むメッセージセッションとして到着します。メッセージの内容の一例は以下のとおりです(フルリンクは改変されています)。
- funn http://64.40.98.XXX/icon/game.exe :-):-):-)
- http://64.40.98.XXX//icon/game.exe :-):-)
- http://64.40.98.XXX/icon/game.exe funny :-);-)
- http://65.110.51.XXX/icon/game.exe ;-);-);-);-)
- best game http://65.110.51.XXX/icon/game.exe ;-);-);-)
- http://65.110.51.XXX/icon/game.exe LOL!! ;-);-);-)
- http://www.XXX.unibo.it/claroline142/photo.exe i cried :-)
- http://www.XXX.unibo.it/claroline142/photo.exe lol :-):-)
- my photos (archived)http://www.XXX.unibo.it/claroline142/photo.exe
- i now play in game http://www.scionicmusic.com/XXX/game.exe :-):-)
- funy game http://www.scionicmusic.com/XXX/game.exe ;-);-);-)
- fun game http://www.scionicmusic.com/XXX/game.exe :-):-):-)
・以下のファイル名が使用される可能性があります。
- 1.exe
- antibush.scr
- childporno.pif
- coolgame.zip .exe
- crazzygirls.scr
- dap53 crack.exe
- dap53.exe
- dap71.exe
- dvdplayer.exe
- eroticgirls2.0.exe
- fantasy.scr
- hello.pif
- icq2004-final.exe
- icqcrack.exe
- icqlite.exe
- icqpro2003b crack.exe
- icqpro2003b.exe
- iMeshV4 crack.exe
- iMeshV4.exe
- kmd.exe
- LimeWireWin.exe
- matrix.scr
- Morpheus.exe
- mult.exe
- myfack.pif
- mylove.pif
- mymusic.pif
- mynewphoto.zip .exe
- newvirus.exe
- nicegirlsshowv12.scr
- opera7.7.exe
- opera7.x crack.exe
- pinguin5.exe
- rulezzz.scr
- trillian 2.0 crack.exe
- trillian-v2.74h.exe
- tropicallagoonss.scr
- winamp5.exe
- winamp6.exe
- WinZip 9.0 crack.exe
- WinZip 9.0.exe
- wrar330 crack.exe
- wrar330.exe
- you the best.scr
- zlsSetup_45_538_001.exe
リモートアクセスコンポーネント
・W32/Mydoom.ab@MMは以下のサイトからBackDoor-CEB.eをダウンロードします(URLは改変されています)。
- http://www.masteratwork.com/XXX/wassup/00000008.cgi
- http://www.professionals-active.com/adclik/click.dat
- http://www.il-XXXX.it/forumBB/postmsg.gif
- http://www.mercyships.de/html/content/XXX/data/data2.dat
- http://www.XXX.unibo.it/claroline142/claroline/index.gif
- http://www.scionicmusic.com/XXX/cover_v3.jpg
- http://64.40.98.XXX/manual/images/apache.gif
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
| 感染方法 | TOPへ戻る | |
・W32/Mydoom.ab@MMは、電子メールを介して、また、ICQネットワークが存在する場合はネットワークを介して自身を送信することにより、繁殖します。
・メールコンポーネントはローカルシステムからアドレスを収集します。以下の拡張子を持つファイルがターゲットになります。
- asp
- cfg
- cgi
- dbx
- dht
- eml
- htm
- jsp
- mbx
- mht
- msg
- php
- sht
- stm
- tbb
- txt
- uin
- wab
- xls
・W32/Mydoom.ab@MMは、以下の文字列を使用するアドレスを避けます。
- .gov
- .mil
- @foo.
- @iana
- abuse
- accoun
- acketst
- admin
- antivi
- anyone
- arin.
- avp.
- berkeley
- borlan
- bsd
- certific
- contact
- example
- feste
- fido
- fsf.
- gnu
- gold-certs
- google
- gov.
- help
- iana
- ibm.com
- icq.com
- icrosof
- icrosoft
- ietf
- info
- inpris
- isc.o
- isi.e
- kasp
- kernel
- linux
- listserv
- math
- messagelabs
- mit.e
- mozilla
- mydomai
- news
- nobody
- nodomai
- noone
- noreply
- nothing
- ntivi
- panda
- pgp
- postmaster
- privacy
- rating
- rfc-ed
- ripe.
- root
- ruslis
- samples
- secur
- sendmail
- service
- site
- somebody
- someone
- sopho
- spam
- submit
- support
- syman
- tanford.e
- unix
- upport
- usenet
- utgers.ed
- webmaster
- www
|
|
|
|
|  |
