製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.k@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4360
対応定義ファイル
(現在必要とされるバージョン)
4374 (現在7543)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日04/05/19
発見日(米国日付)04/05/18
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/26RDN/Generic ...
08/26RDN/Generic....
08/26RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7543
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
ウイルスの特徴 ・このウイルス情報の作成時には、AVERTはW32/Mydoom.k@MMのサンプルを受け取っていませんでした。
プロアクティブな検出
・圧縮ファイルのスキャンが有効に設定されている、ウイルス定義ファイル4360(作成日2004年5月12日)を実行しているMcAfee製品では、W32/Mydoom.k@MMはW32/Mydoom.gen@MMとして検出されます。

・4360よりも前のウイルス定義ファイルでは、ヒューリスティックスキャンを有効に設定している場合、ウイルス定義ファイル4328以降でウイルスまたはNew Malware.bの亜種として検出されます(圧縮ファイルのスキャンも有効に設定)。

・ウイルス定義ファイル4320以降では、W32/Mydoom.k@MMがドロップ(作成)するDLLはウイルスまたはW32/Mydoomの亜種として検出されます。


・W32/Mydoom.k@MMの特徴はこれまでの亜種とほぼ同じです。
  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します(収集した電子メールアドレスと内蔵している名前を使用)。
  • 特定の(内蔵している文字列を含む)電子メールには自身を送信しません。
  • バックドアコンポーネントが組み込まれています(DLLをドロップ(作成))。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • W32/Mydoom.k@MMが実行されると、ターゲットマシンのNOTEPAD.EXEを開き、意味のない文字が羅列された文書を開きます。
  • 以下のファイルおよびレジストリキーが存在します。
インストール

・W32/Mydoom.k@MMのファイルが(手動で)実行されると、RUNDLL6.EXEとしてWindows Systemディレクトリに自身をコピーします。 例:

  • %SysDir%\RUNDLL6.EXE
・(%Sysdir%は、Windows Systemディレクトリ。例:C:\WINDOWS\SYSTEM)

・以下のレジストリ項目を作成し、Windows起動時にフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "rundll" = %SysDir%\rundll6.exe
・Windows Systemディレクトリにドロップ(作成)したDLLを利用します。
  • %SysDir%\shimgapi.dll(4,608バイト)
・このDLLは、以下のレジストリキーにより、再起動時にEXPLORER.EXEプロセスに挿入されます。
  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32"(Default)" = %SysDir%\shimgapi.dll
・(このキーは元々%SystemRoot%\System32\webcheck.dllと同じであった可能性があります。)

感染方法TOPへ戻る

電子メールを介した繁殖

・W32/Mydoom.k@MMは電子メールを介して繁殖し、ターゲットマシンから収集した受信者の電子メールアドレス(および収集したアドレスと内蔵している文字列を組み合わせて作成したアドレス)に自身を大量送信します。

・興味深いことに、収集した電子メールアドレスと作成した電子メールアドレスの両方が(HTTP Getリクエストを介して)リモートWebサーバに送信されます。おそらく、大量の電子メールアドレスを収集して後で利用するためと思われます。

・W32/Mydoom.k@MMは実行ファイルとして、あるいはZIP圧縮ファイル(パスワード保護されていない圧縮ファイル)で自身を送信します。ファイル名にはワームに内蔵されている文字列が使用されており、ランダムな文字列から構成されます。

・電子メールでは、さまざまな件名と本文が使用されます。本文には意味のない文字列が羅列されている場合があります。

リモートアクセスコンポーネント

・ドロップ(作成)されたDLLコンポーネントは、ポート3127(TCP)上で受信待機するリモートアクセスコンポーネントとして機能します。W32/Mydoom.k@MMは、このバックドアから特殊なTCP送信を受信できます。

  • この特殊な送信を受信すると、組み込まれているバイナリを一時ファイルに保存して実行します。次に一時ファイルを削除します。
  • 別の送信を受信すると、TCPパケットをリレーして、IPを偽装します(スパムの送信を容易にするためと思われます)。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足