--2004年3月11日更新情報--
感染が弱まってきたので、危険度を "中" から "低[要注意]" に引き下げました。
--2004年2月23日更新情報--
感染が広がっているため、危険度を「中」に引き上げました。
Mydoomに感染しているかどうかが不確かな場合は、駆除ツールStingerをダウンロードして検出・駆除を行ってください。
ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるMydoomウイルスに感染したことを示すものではありません。
|
・W32/Mydoom.f@MMは大量メール送信型ワーム、および共有ホッピング型ワームで、特徴は以下のとおりです。
- 送信メッセージを作成するために自身のSMTPエンジンを内蔵
- マップされたドライブへ自身をコピー
- バックドアコンポーネントを内蔵
- サービス拒否(DoS)発病ルーチンを含む
- ファイル削除発病ルーチンを含む
・W32/Mydoom.f@MMは、以下のような電子メールメッセージで届きます。
送信者:(偽造された送信者)
送信者アドレスに使用されていても、その送信者が感染していることを示すわけではありません。メールサーバから、感染を告げるメッセージを受信することもありますが、実際は感染していないこともあります。
件名:(以下のようにさまざまです。)
- (空欄)
- =P Announcement
- Announcement
- ApprovedNews
- Attention
- automatic responder
- Bug
- Current Status
- EXPIRED ACCOUNT
- For your information
- hello
- hi, it's me
- hi
- IMPORTANT
- Information Warning
- Love is Love is...
- Please read
- Please reply
- Re: Approved
- Re: Thank You
- Re:
- Read it immediately
- read now!
- Read this
- Readme
- Recent news
- Recent news
- Something for you
- Undeliverable message
- Unknown
- You have 1 day left
- You use illegal File Sharing... Your IP was logged
- Your account is about to be expired
- Your credit card
- Your order is being processed
- Your order was registered
- Your request is being processed
- Your request was registered
本文:(以下のようにさまざまです。)
- Check the attached document.
- Details are in the attached document. You need Microsoft Office to open it.
- Greetings
- Here is the document.
- Here it is
- I have your password :)
- I wait for your reply.
- I wait for your reply.
- I'm waiting Okay
- I'm waiting
- Information about you
- Is that from you?
- Is that yours?
- Kill the writer of this document!
- OK Everything ok?
- Please see the attached file for details
- Please, reply
- Read the details.
- Reply
- See the attached file for details
- See you Here it is
- See you
- Something about you
- Take it
- The document was sent in compressed format.
- We have received this document from your e-mail.
- You are a bad writer
- You are bad
添付ファイル:(.cmd、.bat、.pif、.com、.scr、.exeなどさまざまです。ZIPアーカイブで届くこともあります。ファイルサイズは、34,686バイトです。)
- creditcard.bat
- creditcard.zip
- details.zip
- mail.zip
- notes.zip
- part1.zip
- paypal.zip
- photo.zip
- textfile.zip
- vpf.zip
- website.zip
- %random characters%.zip
・添付ファイルは、以下のアイコンを使用してテキストファイルを装います。
・このファイルが(手動で)実行されると、WINDOWS SYSTEMディレクトリにランダムなファイル名(例:hiruszomrk.exe)で自身をコピーします。
- %SYSDIR%\hiruszomrk.exe
(%Sysdir%は、Windows Systemディレクトリです。例えば、C:\windows\systemです。)
・以下のレジストリエントリを作成して、Windowsの起動をフックします。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "nhch" = %SYSDIR%\hiruszomrk.exe
・W32/Mydoom.f@MMは、Windows Systemディレクトリに作成した以下のDLLファイルを使用します。
- %SYSDIR%\vppu.dll(8,068バイト)
・現在実行中のプロセスを列挙します。以下の名前のプロセスを終了させようとします。
- avp.
- avp32
- intrena
- mcafe
- navapw
- navw3
- norton
- reged
- taskmg
- taskmo
共有ドライブを介した繁殖
・W32/Mydoom.f@MMは、ローカルのハードディスクとマップされたドライブのさまざまなディレクトリに.zipアーカイブ、または.exeファイルで自身のコピーを作成します。ファイル名はランダムなアルファベットで、ファイルサイズは34Kバイトです。
・ローカルのハードドライブを検索して、bmp、avi、jpg、sav、xls、doc、およびmdbの拡張子がついたファイルを削除します。
リモートアクセスコンポーネント
・W32/Mydoom.f@MMは、感染マシンのポート1080を聴取します。ポート番号が3000から5000の範囲のポートも開きます。
サービス拒否コンポーネント
・システムの日付が毎月17日〜22日の間の場合、W32/Mydoom.f@MMは、以下のWebサイトに対するDoS(サービス拒否)攻撃を実行すると考えられます。
- www.microsoft.com
- www.riaa.com
・感染マシン上のランダムに選択されたポートから標的となるサイトのポート80にHTTP GETリクエストを送信するスレッドを作成し、サービス拒否攻撃を実行します。
