・W32/Mydoom.h@MMは大量メール送信型ワームで、以下のような特徴があります。
- 送信メッセージを作成するために自身のSMTPエンジンを内蔵
- バックドアコンポーネントを含む(以下を参照)
- サービス拒否(DoS)発病ルーチンを含む
・W32/Mydoom.h@MMは、以下のような電子メールメッセージで届きます。
送信者:(偽造された送信者)
・送信者アドレスに使用されていても、必ずしもその送信者が感染しているわけではありません。メールサーバから感染を告げるメッセージを受信することもありますが、実際は感染していないこともあります。
件名および本文:(以下のリストから選択)
- Here it is
- Please, read and let me know what do you feel
- Full message is in the attached document
- Open the document
- Test
- Here is the document
- Please, reply
- Re:
- See you
- Okay
- Ok
- Look at the attached file
- Look at the document
- Read this
- See the attached document
- See the attached message
- See attachment
- See attachemnt
- Read the document
- Details are in the attached document
- Hi! Check the attachment for details
- Your file is attached
- Your document is attached
- See the attached file for details
- Please read the attached file
- Please have a look at the attached file
- Here is the file
- Read the attached message
- For your eyes only
- micro$oft must die. support us!
- Micro$oft
- some stuff
- Your profile
- just some stuff
- See you soon
- Auto-reply
- Address verification
- Your account is about to be expired
- Your account is expired
- Expired account
- Bank information
- Registration rejected
- Rejected
- excuse me
- photo
- my photos
- Alert
- Warning
- Attention
- hey!
- read!!!
- i can tell you the future
- your chance
- please read
- corrupted
- missed
- unknown
- Microsoft
- join
- we're unable to process your request
- i need you
- Interesting
- we're experiencing technical problems
- Empty
- Automatic notification
- Reply
- beauty
- kleopatra
- kate
- dear friend!
- Response
- Request
- notification
- anna
- price list
- hey
- fw:
- re:
- question
- report
- how are you?
- :-)
- :)
- hello! :)
- hi! :)
- confirmed
- Email verification
- verification
- see you
- You have been successfully registered
- Please, confirm the registration
- Registration
- Your details
- Your account details
- service
- melissa
- maria
- pamela
- jessica
- your website
- your text
- your music
- your letter
- your archive
- thank you
- thanks
- thanks!
- your document
- my details
- here is the document
- here
- hello
- spreadsheet
- excel
- Your request
- do you still love me
- do you love me
- greetings
- hello my friend
- hi!
- account details
- your account
- from me
- Daily Report
- summary
- price-list
- pricelist
添付ファイル:(.com、.bat、.exe、.pif、.cmd、.scrなどさまざまです。ZIPアーカイブで届くこともあります。)
- doc.bat
- document.zip
- information.zip
- readme.zip
- text.pif
- bill.scr
- msg.htm.pif
- paypal.txt.exe
- letter.scr
・添付ファイルは、以下のアイコンを使用してWord文書を装います。
・このファイルが(手動で)実行されると、WINDOWS SYSTEMディレクトリに.BAT、.EXE、.PIF、.CMD、または.SCRの拡張子が付く、ランダムな名前のファイルとして自身をコピーします。
- %SysDir% \(random letters )[.bat, .exe, .pif, .cmd, or .scr]
(Where %Sysdir% is the Windows System directory, for example C:\WINDOWS\SYSTEM)
・以下のレジストリエントリを作成し、Windowsの起動をフックします。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "(random letters)" = %SysDir% \(random letters) [.bat, .exe, .pif, .cmd, or .scr]
・W32/Mydoom.h@MMはWindows Systemディレクトリに作成した、ランダムな名前のDLLファイルを使用します。
- %SysDir% \(ランダムな文字) .dll (さまざまなサイズ)
・W32/Mydoom.h@MMは再起動時に、以下のレジストリキーを介して、EXPLORER.EXEファイルにこのDLLファイルを挿入します。
- HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InProcServer32 "(Default)" = %SysDir%\(random letters) .dll
- HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir% \(random letters) .dll
リモートアクセスコンポーネント
・W32/Mydoom.h@MMは、TCPポート1080の接続を開きます(この機能は、ドロップ(作成)されたDLLファイルに含まれます)。
サービス拒否(DoS)コンポーネント
・W32/Mydoom.h@MMは、www.symantec.com.に対するサービス拒否(DoS)発病ルーチンを含みます。 最初の実行時から10〜20分後に、サービス拒否攻撃が開始されます。
