-- 11月8日更新 --
・感染が弱まってきたので、危険度を[低(要注意)]に引き下げました。
--
-- 2004年7月30日更新 --
・感染が弱まってきたので、危険度を "中[要警戒]" から "中" に引き下げました。
-- 7月26日03:21(太平洋夏時間)更新 --
・Mydoomの亜種にはウイルスに感染していないファイル(ZIPアーカイブ内の .bat, .com, .exe, .pif or .scr ファイル)が添付されることがあります。これらのファイルのサイズは、おおよそ1-2KBで、ウイルス感染の危険があるものではありません。
--
-- 7月26日08:12(太平洋夏時間)更新 --
・感染報告が増加しているため、危険度を[中(要警戒)]に引き上げました。
--
・Mydoomへの感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/Mydoom.o@MMを検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。) 注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。
・W32/Mydoom.o@MMはUPXで圧縮されています。これまでの亜種と同様、W32/Mydoom.o@MMには以下の特徴があります。
- 大量メール送信型ワームで、自身のSMTPエンジンを使用してメッセージを作成します。
- ターゲットマシンから電子メールアドレスを収集します。
- メッセージの差出人のアドレスを偽装します。
- ピアツーピアを介した繁殖が可能なルーティンが組み込まれています。
電子メールを介した繁殖
差出人:(差出人ヘッダーを擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。
・差出人のアドレスは、収集した電子メールアドレスを使用して擬装されている場合があります。さらに、以下のアドレスを使用して、宛先不明で戻ってきたように見せかけて作成される場合もあります。
- mailer-daemon@(ターゲットドメイン)
- noreply@(ターゲットドメイン)
・この場合、以下の表示名が使用されます。
- "Automatic Email Delivery Software"
- "Bounced mail"
- "MAILER-DAEMON"
- "Mail Administrator"
- "Mail Delivery Subsystem"
- "Post Office"
- "Returned mail"
- "The Post Office"
件名:
・以下の件名を使用します。
- hello
- hi
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
本文:
・W32/Mydoom.o@MMは、本体に組み込まれている文字列からメッセージを作成します。
添付ファイル:
・以下の拡張子を持つファイルをEXEファイルを添付します。
・また、ZIPファイル(ZIPで二重に圧縮されている場合もあります)にワームのコピーが格納されている場合があります。その場合の拡張子は以下のとおりです。
・添付ファイルには、以下にプラスして、ターゲットの電子メールアドレスの名前がファイル名として使用されている場合があります。
- README
- INSTRUCTION
- TRANSCRIPT
- MAIL
- LETTER
- FILE
- TEXT
- ATTACHMENT
- DOCUMENT
- MESSAGE
・添付ファイルには拡張子が二重に使用され、ユーザを欺くため、ファイル拡張子の間に複数のスペースが挿入されている場合があります。
電子メールアドレスの収集
・ターゲットマシンの以下のファイルタイプから電子メールアドレスを収集します。
・W32/Mydoom.o@MMは、4つの検索エンジンを照会し、返ってきた結果からアドレスを収集します。
- http://search.lycos.com
- http://www.altavista.com
- http://search.yahoo.com
- http://www.google.com
・また、ターゲットマシン上のアクティブなOutlookのウィンドウからも電子メールアドレスを収集します。
電子メールの送信対象外
・W32/Mydoom.o@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。
- spam
- abuse
- master
- sample
- accoun
- privacycertific
- bugs
- listserv
- submit
- ntivi
- support
- admin
- page
- the.bat
- gold-certs
- ca
- feste
- not
- help
- foo
- no
- soft
- site
- me
- you
- rating
- your
- someone
- anyone
- nothing
- nobody
- noone
- info
- info
- winrar
- winzip
- rarsoft
- sf.net
- sourceforge
- ripe.
- arin.
- google
- gnu.
- gmail
- seclist
- secur
- bar.
- foo.com
- trend
- update
- uslis
- domain
- example
- sophos
- yahoo
- spersk
- panda
- hotmail
- msn.
- msdn.
- microsoft
- sarc.
- syma
- avp
ピアツーピアを介した繁殖
・W32/Mydoom.o@MMは、以下の文字列を含むフォルダに自身をコピーします。
