ウイルス情報

ウイルス名 危険度

W32/Mydoom.b@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4320
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7628)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Mydoom.b (AVP) :W32.Mydoom.B@mm (NAV) :WORM_MYDOOM.B (Trend)
情報掲載日 04/01/29
発見日(米国日付) 04/01/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

--2004年1月28日更新情報--

メディアの注目があるため、危険度を "低 [要注意]" にしました。


・このウイルスはW32/Mydoom@MMの亜種で以下の特徴を持ちます。

  • 送信メッセージを構成するSMTPエンジンを持つ
  • ピアツーピア繁殖ルーチンを持つ
  • サービス拒否ペイロードを持つ
  • 感染マシンのローカルhostsファイルを上書きする
  • バックドアコンポーネントを持つ
Mydoomに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。 ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるW32/Mydoom@MMウイルスに感染したことを示すものではありません。

大量メール送信

・W32/Mydoom.b@MMは以下のようなメッセージで受信されます。

差出人:(他人になりすます)
差出人に使用されているメールアドレスが必ずしも感染されているとは限りません。また、メールサーバから感染を告げる警告メッセージを受信することがありますが、この場合も感染していないことがあります。

件名:(以下のようにさまざまな形をとる)

  • Returned mail
  • Delivery Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

本文:(以下のようにさまざまな形をとる)

  • sendmail daemon reported:
    Error #804 occured during SMTP session. Partial message has been received.
  • Mail transaction failed. Partial message is available.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message contains MIME-encoded graphics and has been sent as a binary attachment.
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

添付ファイル:(さまざまな形をとる[.bat, .exe, .pif, .cmd, .scr] ZIPアーカイブで受信される場合もある)(29,184バイト)

  • 例:(一般的なファイル名が使われるが、ランダムに選択される。)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr

拡張子が2つ使用されている場合、複数の空白(スペース)が挿入されていることがあります。 例: document.htm (複数のスペース) .pif

・添付ファイルをテキストファイルのように見せかけるために、以下のようなアイコンが使われる

・ファイルが実行されると、ウイルス自身をtaskmon.exeとしてWINDOWS SYSTEMディレクトリにコピーします。

  • %SysDir%\explorer.exe

    (Windowsのシステムディレクトリを%Sysdir%と表記しています。実際にはこのようなものが入ります。: C:\WINDOWS\SYSTEM)


・ウィンドウズスタートアップをフックするために、以下のレジストリエントリーを作成します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "Explorer" = %SysDir%\explorer.exe
 
また、ウィンドウズディレクトリ内にDLLファイルを作成します。
  • %SysDir%\ctfmon.dll (6,144バイト)

・DLLファイルは、再起動中に以下のレジストリキーを経由してEXPLORER.EXEファイル内に挿入されます。

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\ctfmon.dll

■Webアクセス遮断

・W32/Mydoom.b@MMはローカルのhostsファイルを書き換え、感染したマシンから特定のWebサイトへのアクセスを遮断します。ネットワークアソシエイツWebサイト(アクセスを遮断されるWebサイトに含まれています)に今後も問題なくアクセス出来るように、定義ファイルを4320に早急にアップデートすることをお勧めします。

  • ad.doubleclick.net
  • ad.fastclick.net
  • ads.fastclick.net
  • ar.atwola.com
  • atdmt.com
  • avp.ch
  • avp.com
  • avp.ru
  • awaps.net
  • banner.fastclick.net
  • banners.fastclick.net
  • ca.com
  • click.atdmt.com
  • clicks.atdmt.com
  • dispatch.mcafee.com
  • download.mcafee.com
  • download.microsoft.com
  • downloads.microsoft.com
  • engine.awaps.net
  • fastclick.net
  • f-secure.com
  • ftp.f-secure.com
  • ftp.sophos.com
  • go.microsoft.com
  • liveupdate.symantec.com
  • mast.mcafee.com
  • mcafee.com
  • media.fastclick.net
  • msdn.microsoft.com
  • my-etrust.com
  • nai.com
  • networkassociates.com
  • office.microsoft.com
  • phx.corporate-ir.net
  • secure.mcafee.com
  • securityresponse.symantec.com
  • service1.symantec.com
  • sophos.com
  • spd.atdmt.com
  • support.microsoft.com
  • symantec.com
  • update.symantec.com
  • updates.symantec.com
  • us.mcafee.com
  • vil.nai.com
  • viruslist.ru
  • windowsupdate.microsoft.com
  • www.avp.ch
  • www.avp.com
  • www.avp.ru
  • www.awaps.net
  • www.ca.com
  • www.fastclick.net
  • www.f-secure.com
  • www.kaspersky.ru
  • www.mcafee.com
  • www.microsoft.com
  • www.my-etrust.com
  • www.mcafee.com
  • www.mcafee.com
  • www.sophos.com
  • www.symantec.com
  • www.trendmicro.com
  • www.viruslist.ru
  • www3.ca.com

・W32/Mydoom.b@mmがドロップ(作成)するHostsファイルの検出・削除には、EXTRA.DATを定義ファイル4320と共にご使用ください。(下記参照)

■ピアツーピアを介した繁殖

・ウイルスは以下のようなファイル名を作成してKaZaa共有ディレクトリにウイルス自身をコピーします。

  • xsharez_scanner
  • BlackIce_Firewall_Enterpriseactivation_crack
  • zapSetup_95_693
  • MS59-56_hotfix
  • winamp0
  • NessusScan_pro
  • attackXP-6.71

■サービス拒否ペイロード

・ウイルスは以下のドメイン名に対するサービス拒否ペイロードを含みます。(日にちによりトリガーされます。)

  • www.sco.com
  • www.microsoft.com

ウイルスが2004年2月1日10時9分12秒(UTC)から2004年4月1日3時18分42秒(UTC)に起動した場合、ウイルスが”www.sco.com” 上でサービス拒否攻撃を実行する可能性は80%です。

ウイルスが2004年2月3日10時9分12秒(UTC)から2004年4月1日3時18分42秒(UTC)に起動した場合、ウイルスが”www.microsoft.com” 上でサービス拒否攻撃を実行する可能性は70%です。

・また、ウイルスは上記両方のサービス拒否攻撃を同時に実行する可能性があります。www.sco.com上でサービス拒否攻撃がうまくいかなかった場合、65秒間スリープ状態になり、断続的にループを再開します。www.microsoft.com上でサービス拒否攻撃がうまくいかなかった場合、断続的なループで16秒ごとにリトライします。

■リモートアクセスコンポーネント

・ウイルスは以下のTCPポートの接続を開きます。(この機能はドロップ(作成)されたDLLに含まれます。)

  • 1080 (if fail then next)
  • 3128
  • 80
  • 8080
  • 10080

・また巧妙に作成されたTCPトランスミッションを使用することもあります。

  • あるトランスミッションでは、組み込まれたバイナリを一時ファイルに保存、実行します。その後その一時ファイルは削除されます。
  • TCPパケットをリレーすることでIPに虚偽の実行権を与える(SPAM配信を助けることになる)TCPトランスミッションもあります。

■リモートアップデート

・ウイルスはポート3127のランダムなIPアドレスにパケットを送り出します。これはW32/Mydoom@MMに感染したシステムを探し出すためです。感染したシステムをみつけると、ウイルスはそのシステムに自身のコピーを送ります。これにより再起動時には、システムはW32/Mydoom@MMではなくW32/Mydoom.b@MMに感染していることとなります。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ウイルスが実行されると、以下の偽のエラーメッセージが表示されます。

・ウイルスが実行されると、ノートパッドが開かれ意味不明な文字でいっぱいになります。

・上記のようなファイルやレジストリエントリーが存在します。

・TCPのリモートマシンのポート3127への接続が開いています。(W32/Mydoom@MMが開くポートと同じです。)

TOPへ戻る

感染方法

・メールコンポーネントがローカルシステムからアドレスを抽出します。以下の拡張子のファイルがターゲットとなります。
  • wab
  • adb
  • tbb
  • dbx
  • asp
  • php
  • sht
  • htm
  • txt
  • pl

・さらにW32/Mydoom@MMと同様、ウイルスにはメールアドレスをランダムに作成するための文字列が含まれています。 またまたユーザ名をランダムに作成するために、抽出されたドメイン名の先頭に以下の文字列を追加します。

  • john
  • alex
  • michael
  • james
  • mike
  • kevin
  • david
  • george
  • sam
  • andrew
  • jose
  • leo
  • maria
  • jim
  • brian
  • serg
  • mary
  • ray
  • tom
  • peter
  • robert
  • bob
  • jane
  • joe
  • dan
  • dave
  • matt
  • steve
  • smith
  • stan
  • bill
  • bob
  • jack
  • fred
  • ted
  • adam
  • brent
  • alice
  • anna
  • brenda
  • claudia
  • debby
  • helen
  • jerry
  • jimmy
  • linda
  • sandra
  • julie

W32/Mydoom@MMと同様、ある特定のメールアドレスをターゲットにすることを避けています。(ウイルスには避けたいメールアドレスに含まれる文字列が組み込まれています。)

・最後にウイルスはSMTPを使い(SMTPエンジンを使用しメッセージを構成)自身を送信します。ワームは受信者のメールサーバを推測し、ターゲットのドメイン名の先頭に以下のような文字列を追加します。

  • mx.
  • mail.
  • smtp.
  • mx1.
  • mxs.
  • mail1.
  • relay.
  • ns.

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

・以下のEXTRA.DATパッケージもご利用いただけます。

  • 定義ファイル4320を適用していない場合:
    EXTRA.DAT
  • W32/Mydoom.b@mmがドロップ(作成)するHostsファイルの検出・削除には、EXTRA.DATを定義ファイル4320と共にご使用ください。
    EXTRA.DAT

・システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。


■Stinger
・AVERTはこのウイルスの危険度を「低」と判断していますが、Stinger1.9.9がこのウイルスに対応しました。
・ダウンロードはこちら。

■McAfee Desktop Firewall リモートアクセスの可能性を防ぐために、McAfee Desktop Firewallを使用してTCPポート1080, 3128, 8080, 10080および3127をブロックできます。

TOPへ戻る