ウイルス情報

ウイルス名 危険度

W32/Mydoom.e@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4324
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7634)
対応エンジン 4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 04/02/16
発見日(米国日付) 04/02/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴


・W32/Mydoom.e@MMは大量メール送信型ワームおよびピアツーピアファイル共有ワームで、特徴は以下のとおりです。

〇送信メッセージを作成するために自身のSMTPエンジンを内蔵
〇バックドアコンポーネントを含む(以下を参照)
〇サービス拒否(DoS)発病ルーチンを含む

・W32/Mydoom.e@MMは、以下のような電子メールメッセージで届きます。

送信者:(偽造された送信者です。)
送信者アドレスに使用されていても、必ずしもその送信者が感染しているわけではありません。メールサーバから感染を告げるメッセージを受信することもありますが、実際は感染していないこともあります。

件名:(以下のようにさまざまです。)
  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

本文:(以下のようにさまざまです。)
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.
  • test


添付ファイル:(.bat、.exe、.pif、.cmd、.scrなどさまざまです。ZIPアーカイブで届くこともあります。)
  • 例(一般的なファイル名ですが、ランダムに選択されます。)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr

・以下のアイコンを使用して、添付ファイルがテキストファイルを装います。



・このファイルが(手動で)実行されると、WINDOWS SYSTEMディレクトリにtaskmon.exeというファイル名で自身をコピーします。

%SysDir%\taskmon.exe
(%Sysdir%は、Windows Systemディレクトリです。例えば、C:\WINDOWS\SYSTEMです。)

・以下のレジストリエントリを作成して、Windowsの起動をフックします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe

・W32/Mydoom.e@MMは、Windows Systemディレクトリに作成したDLLファイルを使用します。

%SysDir%\shimgapi.dll(5,632バイト)

(注:上記のDLLファイルは、定義ファイル4321以降でW32/Mydoomの亜種として検出されます。定義ファイル4324では、W32/Mydoom.e.dllとして検出されるようになります。)

・再起動時に、以下のレジストリキーを介して、EXPLORER.EXEファイルにこのDLLファイルを挿入します。

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(デフォルト)" = %SysDir%\shimgapi.dll

ピアツーピアを介した繁殖

・W32/Mydoom.e@MMは、KaZaa共有ディレクトリに以下のファイル名で自身をコピーします。

  • nuke2004
  • office_crack
  • rootkitXP
  • strip-girl-2.0bdcom_patches
  • activation_crack
  • icq2004-final
  • winamp

リモートアクセスコンポーネント

・W32/Mydoom.e@MMは、TCPポート3127で接続で開きます(この機能は、ドロップ(作成)されたDLLファイルに含まれます)。

サービス拒否(DoS)コンポーネント

・W32/Mydoom.e@MMが2月1日の16:09:18(UTC)以降に実行された場合、大量メール送信発病ルーチンを中止して、www.sco.comに対するサービス拒否攻撃を開始します。このサービス拒否攻撃は、2006年2月14日02:28:57(UTC)以降の最初のシステム再起動時に終了します。これ以降、W32/Mydoom.e@MMはTCP3127(または3198まで)を聴取するだけになります。コードにバグがあるので、DoS攻撃は75%の確率で開始できないと考えられます。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Mydoom.e@MMが実行されると、意味不明の文字を表示するメモ帳を開きます。

・上記のファイルとレジストリエントリが存在します。

TOPへ戻る

感染方法

・W32/Mydoom.e@MMは、電子メールで繁殖します。また、Kazaaクライアントの共有ディレクトリが存在する場合は、そのディレクトリに自身をコピーして繁殖します。

・メールコンポーネントは、ローカルシステムから電子メールアドレスを収集します。以下の拡張子を持つファイルから収集します。

  • wab
  • adb
  • tbb
  • dbx
  • asp
  • php
  • sht
  • htm
  • txt
  • pl
・以下の文字列を含む電子メールアドレスは、収集しません。
  • .gov
  • .mil
  • abuse
  • acketst
  • arin.
  • avp
  • berkeley
  • borlan
  • bsd
  • example
  • fido
  • foo.
  • fsf.
  • gnu
  • google
  • gov.
  • hotmail
  • iana
  • ibm.com
  • icrosof
  • ietf
  • inpris
  • isc.o
  • isi.e
  • kernel
  • linux
  • math
  • mit.e
  • mozilla
  • msn.
  • mydomai
  • nodomai
  • panda
  • pgp
  • rfc-ed
  • ripe.
  • ruslis
  • secur
  • sendmail
  • sopho
  • syma
  • tanford.e
  • unix
  • usenet
  • utgers.ed
・W32/Mydoom.e@MMは、電子メールアドレスを作成したり、推測するために使用する文字列を含んでいます。収集したドメイン名の先頭に、ユーザ名として以下の文字列を追加します。
  • sandra
  • linda
  • julie
  • jimmy
  • jerry
  • helen
  • debby
  • claudia
  • brenda
  • anna
  • alice
  • brent
  • adam
  • ted
  • fred
  • jack
  • bill
  • stan
  • smith
  • steve
  • matt
  • dave
  • dan
  • joe
  • jane
  • bob
  • robert
  • peter
  • tom
  • ray
  • mary
  • serg
  • brian
  • jim
  • maria
  • leo
  • jose
  • andrew
  • sam
  • george
  • david
  • kevin
  • mike
  • james
  • michael
  • john
  • alex
・最後に、SMTPを介して自身を送信します(送信メッセージは、自身のSMTPエンジンを使用して作成します)。宛先のドメイン名の先頭に以下のような文字列を追加して、受信者のメールサーバを推測します。
  • gate.
  • mx.
  • mail.
  • smtp.
  • mx1.
  • mxs.
  • mail1.
  • relay.
  • ns.

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

Windows ME/XPでの駆除についての補足

TOPへ戻る