製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.ae@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)		4400
対応定義ファイル
(現在必要とされるバージョン)		4400 (現在7077)
対応エンジン4.3.20以降 (現在5.4.00) 
エンジンバージョンの見分け方
情報掲載日2004/10/19
発見日(米国日付)2004/10/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/15ZeroAccess!5...
05/15VBS/LoveLett...
05/15RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7077
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mydoom.ae@MMは大量メール送信型ワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • バックドアコンポーネントが組み込まれています(下記参照)。
  • HOSTSファイルを改変します。
  • W32/Scran.worm(P2Pワーム)をダウンロードします。

・W32/Mydoom.ae@MMは、以下のような電子メールメッセージで届きます。

差出人:(擬装)

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

件名:(一例は以下のとおり)
  • Fw:Information
  • read now!
  • Fw:Warning
  • Re:Warning
  • Warning
  • Fw:Notification
  • Re:Notification
  • Notification
  • Fw:Document
  • Re:Document
  • Document
  • Fw:Important
  • Re:Important
  • Important
  • Re:Information
  • Information
  • Re:Details
  • Details
  • Announcement
本文:(一例は以下のとおり)
  • Daily Report.
  • your document.
  • here is the document.
  • Reply
  • Important Information.
  • Kill the writer of this document!
  • Details are in the attached document.
  • See the attached file for details
  • Please see the attached file for details
  • Check the attached document.
  • Monthly news report.
  • Please confirm!.
  • Please read the attached file!.
  • Please see the attached file for details.
  • Waiting for a Response. Please read the attachment.
  • Please answer quickly!.
添付ファイル:(多くの場合、ZIP圧縮ファイルに格納された状態で到着)
  • attachment.doc
  • notes.doc
  • notedoc
  • text.doc
  • data.doc
  • list.doc
  • archive.doc
  • error.doc
  • check.doc
  • file.doc
  • message.doc
  • letter.doc
  • information.doc
  • msg.doc
  • news.doc
  • report.doc
  • document.doc

・ファイル拡張子が2つある場合、以下のように、間に複数のスペースが挿入されていることがあります。

  • %filename.doc% (多数のスペース) %2ndExt%

・2番目の拡張子は以下のいずれかになります。

  • .cpl
  • .scr
  • .pif

・ターゲットになるメールアドレスが以下のファイル拡張子を持つファイルから収集されます。

  • wab
  • pl
  • adbh
  • tbbg
  • dbxn
  • aspd
  • phpq
  • sht
  • vbs
  • cfg
  • eml
  • cgi
  • wsh
  • msg
  • uin
  • xls
  • jsp
  • xml
  • mdx
  • mbx
  • html
  • htmb
  • txt

・W32/Mydoom.ae@MMが(手動)で実行されると、AVPR.EXEというファイル名でWindowsのシステムディレクトリに自身をコピーします。

  • %SysDir% \AVPR.EXE
(%Sysdir%は、Windowsのシステムディレクトリ。例:C:\WINDOWS\SYSTEM)

・以下のレジストリ項目を作成し、Windows起動時にフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Avpr" = %SysDir% \AVPR.EXE

・Windowsのシステムディレクトリにドロップ(作成)したDLLを利用します。

  • %SysDir% \TCP5424.dll(5,632バイト)

・このDLLは、レジストリキーによって、再起動時にEXPLORER.EXEに挿入されます。

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir% \TCP5424.dll
ピアツーピアを介した繁殖

・W32/Mydoom.ae@MMはリモートサイトからSCRAN.JPGファイルをダウンロードして実行します。このリモートファイルはSCRAN.EXEという名前に変更され、C:にコピーされます。このファイルにはP2Pワームが組み込まれており、ウイルス定義ファイル4400でW32/Scran.wormとして検出されます。

リモートアクセスコンポーネント

・DLLコンポーネントはTCPポート5424で接続を開くバックドアとして動作します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • W32/Mydoom.ae@MMを実行すると、意味のない文字が書かれたメモ帳が開きます。
  • 上記のファイルおよびレジストリ項目が存在します。
  • HOSTSファイルにトラフィックを以下のサイトにリダイレクトするコードが付加されます。
    • www.trendmicro.com
    • trendmicro.com
    • rads.mcafee.com
    • customer.symantec.com
    • liveupdate.symantec.com
    • us.mcafee.com
    • updates.symantec.com
    • update.symantec.com
    • www.mcafee.com
    • nai.com
    • secure.mcafee.com
    • dispatch.mcafee.com
    • download.mcafee.com
    • www.my-etrust.com
    • my-etrust.com
    • mast.mcafee.com
    • ca.com
    • www.ca.com
    • networkassociates.com
    • www.mcafee.com
    • avp.com
    • www.kaspersky.com
    • www.avp.com
    • kaspersky.com
    • www.f-secure.com
    • f-secure.com
    • viruslist.com
    • www.viruslist.com
    • liveupdate.symantecliveupdate.com
    • mcafee.com
    • www.mcafee.com
    • sophos.com
    • www.sophos.com
    • symantec.com
    • securityresponse.symantec.com
    • www.symantec.com
    • www.pandasoftware.com

感染方法TOPへ戻る

・W32/Mydoom.ae@MMは、自身のSMTPエンジンを使用して、電子メールを介して繁殖しようとします。

・W32/Mydoom.ae@MMは、以下の文字列を使用するアドレスを避けます。

  • google
  • certific
  • listserv
  • ntivi
  • support
  • icrosoft
  • admin
  • page
  • the.bat
  • gold-certs
  • feste
  • submit
  • help
  • service
  • privacy
  • somebody
  • soft
  • contact
  • site
  • rating
  • bugs
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • webmaster
  • postmaster
  • samples
  • info
  • root
  • be_loyal:
  • mozilla
  • utgers.ed
  • tanford.e
  • acketst
  • isc.o
  • isi.e
  • ripe.
  • arin.
  • sendmail
  • rfc-ed
  • ietf
  • iana
  • usenet
  • fido
  • linux
  • ernel
  • ibm.com
  • fsf.
  • mit.e
  • math
  • unix
  • berkeley
  • foo.
  • .mil
  • gov.
  • .gov
  • ruslis
  • nodomai
  • mydomai
  • example
  • inpris
  • borlan
  • sopho
  • panda
  • icrosof
  • syma
  • .edu
  • -._!
  • -._!@
  • abuse
  • secur
  • spam

駆除方法TOPへ戻る

Windows ME/XPでの駆除についての補足