製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.n@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4379
対応定義ファイル
(現在必要とされるバージョン)
4566 (現在7577)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/07/20
発見日(米国日付)2004/07/19
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/29RDN/Generic ...
09/29RDN/Generic....
09/29RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7577
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Mydoom.n@MMはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ウイルスの特徴TOPに戻る

・W32/Mydoom.n@MMは大量メール送信型のシェアホッピングワームです。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • マップされたドライブに自身をコピーする機能を搭載しています。
  • TCPポート1042でバックドアを開きます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・W32/Mydoom.n@MMが(手動)で実行されると、SASS.EXEというファイル名でWINDOWSディレクトリに自身をコピーします。

  • 注:%WinDir%は変数です。デフォルトでは、C:\Windows(Windows 95/98/Me/XP)またはC:\WINNT(Windows NT/2000)になります。

・以下のレジストリ項目を作成し、Windows起動時にフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Traybar" %WinDir% \SASS.EXE

リモートアクセスコンポーネント

・W32/Mydoom.n@MMは感染マシンのTCPポート1042で受信待機を行います。これにより、ハッカーは感染システムにコマンドをリモートで送信できます。

感染方法TOPへ戻る

電子メールを介した繁殖

・W32/Mydoom.n@MMは、以下のような電子メールメッセージで届きます。

差出人:(擬装)

  • Postmaster
  • Mail Administrator
  • Automatic Email Delivery Software
  • Post Office
  • The Post Office
  • Bounced mail
  • Returned mail
  • MAILER-DAEMON
  • Mail Delivery Subsystem

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

件名:(一例は以下のとおり)

  • click me baby, one more time
  • say helo to my litl friend
  • hello
  • hi
  • error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error

本文:(以下のいずれかまたはすべてを含む可能性あり)

  • The original message was received at %日時% from %差出人のアドレス%
  • ----- The following addresses had permanent fatal errors ----- %送信先のアドレス%
  • ----- Transcript of session follows -----
    while talking to %送信先のアドレス%.:
    >>> MAIL From:%差出人のアドレス%
    <<< 501 %差出人のアドレス%... Refused
  • This Message was undeliverable due to the following reason:

Your message was not delivered because the destination computer was not reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters.

Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Your message was not delivered within %ランダムな数字% days:
Host %ランダムなIPアドレス% is not responding.

The following recipients did not receive this message:

Please reply to PostMaster@%送信先アドレスのドメイン%
if you feel this message to be in error.

添付ファイル:(拡張子は.cmd、.bat、.pif、.com、.scr、.exe、.zipのいずれか)

  • readme
  • transcript
  • mail
  • letter
  • file
  • text
  • attachment
  • document
  • message
  • %ランダムな文字列%

・さらに、W32/Mydoom.n@MMには、電子メールアドレスのランダムな作成または推測に使用される文字列が組み込まれています。これらは、ユーザ名として、収集されたドメイン名の先頭に付加されます。

  • sales
  • james
  • john
  • spam
  • abus
  • master
  • sample

・W32/Mydoom.n@MMは、以下の文字列を使用するアドレスを避けます。

  • accoun
  • privacycertific
  • bug
  • listserv
  • submit
  • ntivi
  • suppor
  • crosoft
  • admi
  • page
  • the.bat
  • gold-certs
  • ca
  • feste
  • not
  • help
  • service
  • no
  • soft
  • contact
  • site
  • rating
  • me
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • info
  • root
  • winzip
  • rarsoft
  • sf.net
  • sourceforge
  • ripe.
  • arin.
  • google
  • gnu.
  • gmail
  • seclist
  • secur
  • math
  • labs
  • bar.
  • foo.
  • .mil
  • gov.
  • .gov
  • update
  • uslis
  • domain
  • example
  • ophos
  • spersk
  • panda
  • hotmail
  • msn.
  • microsoft
  • sarc.
  • syma
  • avp

共有フォルダを介した繁殖

・W32/Mydoom.n@MMは以下の文字列を含むフォルダに自身のコピーをドロップ(作成)します。

  • shar
  • incoming
  • ftproot
  • download

・上記のフォルダに自身をコピーする際、以下のファイル名を使用します。

  • index
  • Kazaa Lite
  • Harry Potter
  • ICQ 4 Lite
  • WinRAR.v.3.2.and.key
  • Winamp 5.0 (en) Crack
  • Winamp 5.0 (en)
  • ShareReactor

・ファイルの拡張子は、.scr、.com、.exeのいずれかになります。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。