製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.f@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4327
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7568)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Mydoom.e (AVP)
W32/Mydoom-F (Sophos)
W32/Mydoom.F.worm (Panda)
WORM_MYDOOM.F (Trend)
情報掲載日04/02/23
発見日(米国日付)04/02/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/20Generic Back...
09/20GenericR-CBX...
09/20RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7568
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

--2004年3月11日更新情報--
感染が弱まってきたので、危険度を "中" から "低[要注意]" に引き下げました。

--2004年2月23日更新情報--
感染が広がっているため、危険度を「中」に引き上げました。

Mydoomに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。 ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるMydoomウイルスに感染したことを示すものではありません。

・W32/Mydoom.f@MMは大量メール送信型ワーム、および共有ホッピング型ワームで、特徴は以下のとおりです。

  • 送信メッセージを作成するために自身のSMTPエンジンを内蔵
  • マップされたドライブへ自身をコピー
  • バックドアコンポーネントを内蔵
  • サービス拒否(DoS)発病ルーチンを含む
  • ファイル削除発病ルーチンを含む

・W32/Mydoom.f@MMは、以下のような電子メールメッセージで届きます。

送信者:(偽造された送信者)

送信者アドレスに使用されていても、その送信者が感染していることを示すわけではありません。メールサーバから、感染を告げるメッセージを受信することもありますが、実際は感染していないこともあります。

件名:(以下のようにさまざまです。)

  • (空欄)
  • =P Announcement
  • Announcement
  • ApprovedNews
  • Attention
  • automatic responder
  • Bug
  • Current Status
  • EXPIRED ACCOUNT
  • For your information
  • hello
  • hi, it's me
  • hi
  • IMPORTANT
  • Information Warning
  • Love is Love is...
  • Please read
  • Please reply
  • Re: Approved
  • Re: Thank You
  • Re:
  • Read it immediately
  • read now!
  • Read this
  • Readme
  • Recent news
  • Recent news
  • Something for you
  • Undeliverable message
  • Unknown
  • You have 1 day left
  • You use illegal File Sharing... Your IP was logged
  • Your account is about to be expired
  • Your credit card
  • Your order is being processed
  • Your order was registered
  • Your request is being processed
  • Your request was registered

本文:(以下のようにさまざまです。)

  • Check the attached document.
  • Details are in the attached document. You need Microsoft Office to open it.
  • Greetings
  • Here is the document.
  • Here it is
  • I have your password :)
  • I wait for your reply.
  • I wait for your reply.
  • I'm waiting Okay
  • I'm waiting
  • Information about you
  • Is that from you?
  • Is that yours?
  • Kill the writer of this document!
  • OK Everything ok?
  • Please see the attached file for details
  • Please, reply
  • Read the details.
  • Reply
  • See the attached file for details
  • See you Here it is
  • See you
  • Something about you
  • Take it
  • The document was sent in compressed format.
  • We have received this document from your e-mail.
  • You are a bad writer
  • You are bad

添付ファイル:(.cmd、.bat、.pif、.com、.scr、.exeなどさまざまです。ZIPアーカイブで届くこともあります。ファイルサイズは、34,686バイトです。)

  • creditcard.bat
  • creditcard.zip
  • details.zip
  • mail.zip
  • notes.zip
  • part1.zip
  • paypal.zip
  • photo.zip
  • textfile.zip
  • vpf.zip
  • website.zip
  • %random characters%.zip

・添付ファイルは、以下のアイコンを使用してテキストファイルを装います。

・このファイルが(手動で)実行されると、WINDOWS SYSTEMディレクトリにランダムなファイル名(例:hiruszomrk.exe)で自身をコピーします。

  • %SYSDIR%\hiruszomrk.exe
    (%Sysdir%は、Windows Systemディレクトリです。例えば、C:\windows\systemです。)

・以下のレジストリエントリを作成して、Windowsの起動をフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run "nhch" = %SYSDIR%\hiruszomrk.exe

・W32/Mydoom.f@MMは、Windows Systemディレクトリに作成した以下のDLLファイルを使用します。

  • %SYSDIR%\vppu.dll(8,068バイト)

・現在実行中のプロセスを列挙します。以下の名前のプロセスを終了させようとします。

  • avp.
  • avp32
  • intrena
  • mcafe
  • navapw
  • navw3
  • norton
  • reged
  • taskmg
  • taskmo

共有ドライブを介した繁殖

・W32/Mydoom.f@MMは、ローカルのハードディスクとマップされたドライブのさまざまなディレクトリに.zipアーカイブ、または.exeファイルで自身のコピーを作成します。ファイル名はランダムなアルファベットで、ファイルサイズは34Kバイトです。

・ローカルのハードドライブを検索して、bmp、avi、jpg、sav、xls、doc、およびmdbの拡張子がついたファイルを削除します。

リモートアクセスコンポーネント

・W32/Mydoom.f@MMは、感染マシンのポート1080を聴取します。ポート番号が3000から5000の範囲のポートも開きます。

サービス拒否コンポーネント

・システムの日付が毎月17日〜22日の間の場合、W32/Mydoom.f@MMは、以下のWebサイトに対するDoS(サービス拒否)攻撃を実行すると考えられます。

  • www.microsoft.com
  • www.riaa.com

・感染マシン上のランダムに選択されたポートから標的となるサイトのポート80にHTTP GETリクエストを送信するスレッドを作成し、サービス拒否攻撃を実行します。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・W32/Mydoom.f@MMが実行されると、以下のような偽のエラーメッセージが表示されます。メッセージは"File can not be opened"または"Unable to open specified file"と表示される可能性もあります。W32/Mydoom.a@MMと同じく、ノートパッドを使用した判読不能な文字がある場合があります。

上記のファイル、レジストリエントリーが存在する。
2つのマーカーレジストリキーが作成されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Shell
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Shell

感染方法TOPへ戻る
・メールコンポーネントは、ローカルシステムから電子メールアドレスを収集します。以下の拡張子を持つファイルから収集します。
  • adb
  • asp
  • dbx
  • eml
  • hp
  • htm
  • mbx
  • mht
  • mmf
  • msg
  • nch
  • ods
  • oft
  • pl
  • rtf
  • sht
  • tbb
  • txt
  • uin
  • vbs
  • wab

・SMTPを介して自身を送信します(送信メッセージは、自身のSMTPエンジンを使用して作成します)。DNSサーバにMXレコードをクエリし、宛先ドメインのMTAに直接アクセスしてメッセージを送信します。

・以下の文字列を持つ電子メールアドレスは、収集しません。

  • .gov
  • .mil
  • acketst
  • arin.
  • avp
  • berkeley
  • borlan
  • bsd
  • essagela
  • example
  • fido
  • foo.
  • fsf.
  • gnu
  • mit.e
  • google
  • gov.
  • hotmail
  • iana
  • ibm.com
  • icrosof
  • ietf
  • inpris
  • irix
  • isc.o
  • isi.e
  • kernel
  • linux
  • msn.
  • math
  • mozilla
  • mydoma
  • nai.co
  • nodoma
  • panda
  • pgp
  • rfc-ed
  • ripe.
  • ruslis
  • secur
  • sendmail
  • sgi.com
  • slashdot
  • solaris
  • sopho
  • sourcef
  • sun.com
  • suppo
  • syma
  • tanford.e
  • unix
  • usenet
  • utgers.ed

・W32/Mydoom.f@MMは、収集したドメイン名の先頭に追加する文字列を内蔵しています。

  • alex
  • billsmith
  • james
  • jerry
  • jim
  • john
  • sam

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

■Stinger
駆除ツールStingerがこのウイルスに対応しました。
ダウンロードはこちら