|
|
ウイルス情報 |
| ウイルスの特徴 | TOPに戻る |
・W32/Mydoom.e@MMは大量メール送信型ワームおよびピアツーピアファイル共有ワームで、特徴は以下のとおりです。
〇送信メッセージを作成するために自身のSMTPエンジンを内蔵
〇バックドアコンポーネントを含む(以下を参照)
〇サービス拒否(DoS)発病ルーチンを含む
・W32/Mydoom.e@MMは、以下のような電子メールメッセージで届きます。
送信者:(偽造された送信者です。)
送信者アドレスに使用されていても、必ずしもその送信者が感染しているわけではありません。メールサーバから感染を告げるメッセージを受信することもありますが、実際は感染していないこともあります。
件名:(以下のようにさまざまです。)
- Error
- Status
- Server Report
- Mail Transaction Failed
- Mail Delivery System
- hello
- hi
本文:(以下のようにさまざまです。)
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
- test
添付ファイル:(.bat、.exe、.pif、.cmd、.scrなどさまざまです。ZIPアーカイブで届くこともあります。)
- 例(一般的なファイル名ですが、ランダムに選択されます。)
- doc.bat
- document.zip
- message.zip
- readme.zip
- text.pif
- body.scr
- test.htm.pif
- data.txt.exe
- file.scr
・以下のアイコンを使用して、添付ファイルがテキストファイルを装います。
・このファイルが(手動で)実行されると、WINDOWS SYSTEMディレクトリにtaskmon.exeというファイル名で自身をコピーします。
%SysDir%\taskmon.exe
(%Sysdir%は、Windows Systemディレクトリです。例えば、C:\WINDOWS\SYSTEMです。)
・以下のレジストリエントリを作成して、Windowsの起動をフックします。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
・W32/Mydoom.e@MMは、Windows Systemディレクトリに作成したDLLファイルを使用します。
%SysDir%\shimgapi.dll(5,632バイト)
(注:上記のDLLファイルは、定義ファイル4321以降でW32/Mydoomの亜種として検出されます。定義ファイル4324では、W32/Mydoom.e.dllとして検出されるようになります。)
・再起動時に、以下のレジストリキーを介して、EXPLORER.EXEファイルにこのDLLファイルを挿入します。
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(デフォルト)" = %SysDir%\shimgapi.dll
ピアツーピアを介した繁殖
・W32/Mydoom.e@MMは、KaZaa共有ディレクトリに以下のファイル名で自身をコピーします。
- nuke2004
- office_crack
- rootkitXP
- strip-girl-2.0bdcom_patches
- activation_crack
- icq2004-final
- winamp
リモートアクセスコンポーネント
・W32/Mydoom.e@MMは、TCPポート3127で接続で開きます(この機能は、ドロップ(作成)されたDLLファイルに含まれます)。
サービス拒否(DoS)コンポーネント
・W32/Mydoom.e@MMが2月1日の16:09:18(UTC)以降に実行された場合、大量メール送信発病ルーチンを中止して、www.sco.comに対するサービス拒否攻撃を開始します。このサービス拒否攻撃は、2006年2月14日02:28:57(UTC)以降の最初のシステム再起動時に終了します。これ以降、W32/Mydoom.e@MMはTCP3127(または3198まで)を聴取するだけになります。コードにバグがあるので、DoS攻撃は75%の確率で開始できないと考えられます。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る | |
・W32/Mydoom.e@MMが実行されると、意味不明の文字を表示するメモ帳を開きます。
・上記のファイルとレジストリエントリが存在します。
|
|
|
|
|  |
