製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.ah@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4405
対応定義ファイル
(現在必要とされるバージョン)
4405 (現在7515)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名W32.Mydoom.AH@mm (Symantec) Win32/Mydoom.AH@mm (RAV)
情報掲載日2004/11/09
発見日(米国日付)2004/11/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/29RDN/Download...
07/29RDN/Download...
07/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7515
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2004年11月9日更新 --

・感染報告が増加しているため、危険度を[中]に引き上げました。

・W32/Mydoom.ah@MMへの感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/Bagle.bd@MMを検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。)
注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。

・W32/Mydoom.ah@MMはMicrosoft Internet ExplorerのIFRAMEのバッファオーバーフローの脆弱性を対象とするゼロデイ攻撃を利用します。このウイルスは W32/Mydoom.ag@MMに酷似しています。
注:W32/Mydoom.ag@MM[危険度:低(要注意)]の詳細からダウンロード可能な extra.dat がこのウイルスに対応しています。

・W32/Mydoom.ag@MMは、ローカルシステム上で検出されたアドレス、およびウイルス自身によって構成されたアドレスに電子メールメッセージを送信することにより繁殖します。メッセージの内容は以下のとおりです。

差出人:擬装アドレス(本文が、以下のpaypalのメッセージであるものが送信される場合、exchange-robot@paypal.comがアドレスとして利用されるかもしれません。)

件名:(様々なケースが考えられます)
  • hi!
  • hey!
  • Confirmation
  • 空白
本文:
Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
To see details please click this link .

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.

Thank you for using PayPal.

または

Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.

See my homepage with my weblog and last webcam photos!

See you!

または

Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!

・電子メールのヘッダーには以下のいずれかのフィールドが含まれていることがあります。

  • X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
  • X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
  • X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software

・メッセージへの添付ファイルはありません。ホームページのハイパーリンクは電子メールメッセージを送信した感染システムに向けられます。リンクをクリックすると、乗っ取ったシステム上で動作しているWebサーバにアクセスします。Webサーバには、IFRAMEのバッファオーバーフローの脆弱性を利用して、ウイルスを自動的に実行するコードが組み込まれたHTMLが仕掛けられています。

・感染システムでは、Windows Explorerが、Webサーバが動作するTCPポート1639上で受信待機を行っていることが表示されます。

・ユーザがW32/Mydoom.ag@MMによって送信されたハイパーリンクをクリックすると、感染コンピュータ(http:// IP address:1639/webcam.htm)に接続されます。webcam.htmページに接続すると、Internet Explorerでバッファオーバーフローが発生します。さらに、ローカルマシンにリモートファイル(http:// IP address:1639/reactor)をダウンロードし、そのファイルをローカルファイル、%desktop%\vv.datに保存し、さらにダウンロードしたファイルを実行するように指示するシェルコードが実行されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Mydoom.ag@MMが動作すると、32.exeで終わるランダムなファイル名のファイルをWindowsのシステムディレクトリ(%WinDir%\system32)に作成します。次に、システムの起動時にW32/Mydoom.ag@MMをロードするレジストリ実行キーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Reactor3" = C:\WINDOWS\System32\heztiv32.exe

・また、以下のレジストリキーも作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ComExplore
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ComExplore\Version
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\ComExplore
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Explorer\ComExplore\Version

・W32/Mydoom.ah@MMにはIRCサーバのリストが組み込まれており、TCPポート6667上で接続しようとします。

  • qis.md.us.dal.net
  • ced.dal.net
  • viking.dal.net
  • vancouver.dal.net
  • ozbytes.dal.net
  • broadway.ny.us.dal.net
  • coins.dal.net
  • lulea.se.eu.undernet.org
  • diemen.nl.eu.undernet.org
  • london.uk.eu.undernet.org
  • washington.dc.us.undernet.org
  • los-angeles.ca.us.undernet.org
  • brussels.be.eu.undernet.org
  • caen.fr.eu.undernet.org
  • flanders.be.eu.undernet.org
  • graz.at.eu.undernet.org

感染方法TOPへ戻る

・Mydoomの他の亜種と同様、W32/Mydoom.ag@MMはローカルシステムから電子メールアドレスを収集し、これらのアドレスに電子メールメッセージを送信します。しかし、これまでの亜種と異なり、感染メッセージには添付ファイルは含まれていません。代わりに、感染マシンに向けられたハイパーリンクが組み込まれています。ターゲットシステムが脆弱なMicrosoft Internet Explorerを実行している場合、ハイパーリンクをクリックすると感染します。

・バッファオーバーフローを通して、W32/Mydoom.ag@MMは、メインのウイルスコンポーネントをダウンロードし実行します。このコンポーネントはEXPLORER.EXE プロセスに感染し、ウイルスのタスクを実行するために6つのスレッドを作成します。たとえ、メインの実行ファイルが停止もしくは削除されても、EXPLORER.EXE内のそれらのスレッドは繁殖を止めるために、一時停止もしくは終了します。指定されたDATファイルで、稼動中のウイルスのプロセスの停止とEXPLORER.EXEのスレッドを修復可能です。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

VirusScan Enterprise 8.0i

・VSE8.0iは、このウイルスが広がることを防ぐのに効果的な、一般的なバッファオーバーフローをプロテクトする機能を有しています。
この機能は、デフォルトで動作するようになっています。


・上記の設定で、検出中にメッセージダイアログボックスが表示されます。