製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.o@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4381
対応定義ファイル
(現在必要とされるバージョン)
5444 (現在7506)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/08/03
発見日(米国日付)2004/07/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/20RDN/Generic ...
07/20RDN/Generic ...
07/20Generic.bfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7506
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Mydoom.o@MMはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ウイルスの特徴TOPに戻る

-- 11月8日更新 --

・感染が弱まってきたので、危険度を[低(要注意)]に引き下げました。

--

-- 2004年7月30日更新 --

・感染が弱まってきたので、危険度を "中[要警戒]" から "中" に引き下げました。

-- 7月26日03:21(太平洋夏時間)更新 --

・Mydoomの亜種にはウイルスに感染していないファイル(ZIPアーカイブ内の .bat, .com, .exe, .pif or .scr ファイル)が添付されることがあります。これらのファイルのサイズは、おおよそ1-2KBで、ウイルス感染の危険があるものではありません。

--

-- 7月26日08:12(太平洋夏時間)更新 --

・感染報告が増加しているため、危険度を[中(要警戒)]に引き上げました。

--

・Mydoomへの感染の疑いがあるが、チェック方法がわからない場合は、Stingerをダウンロードして、システムをスキャンし、ウイルスを駆除してください。なお、McAfee製品の最新の定義ファイルはW32/Mydoom.o@MMを検出、駆除できるため、McAfeeユーザにはこの作業は不要です。(詳細については、下記の駆除方法を参照してください。) 注:ユーザの電子メールアドレスで送信されたメールがウイルスに感染しているとする警告メッセージを受信する場合がありますが、ウイルスは差出人のアドレスを偽装することが多いため、実際に感染している訳ではありません。

・W32/Mydoom.o@MMはUPXで圧縮されています。これまでの亜種と同様、W32/Mydoom.o@MMには以下の特徴があります。

  • 大量メール送信型ワームで、自身のSMTPエンジンを使用してメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • ピアツーピアを介した繁殖が可能なルーティンが組み込まれています。

電子メールを介した繁殖

差出人:(差出人ヘッダーを擬装)

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集した電子メールアドレスを使用して擬装されている場合があります。さらに、以下のアドレスを使用して、宛先不明で戻ってきたように見せかけて作成される場合もあります。

  • mailer-daemon@(ターゲットドメイン)
  • noreply@(ターゲットドメイン)

・この場合、以下の表示名が使用されます。

  • "Automatic Email Delivery Software"
  • "Bounced mail"
  • "MAILER-DAEMON"
  • "Mail Administrator"
  • "Mail Delivery Subsystem"
  • "Post Office"
  • "Returned mail"
  • "The Post Office"

件名:

・以下の件名を使用します。

  • hello
  • hi
  • error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error

本文:

・W32/Mydoom.o@MMは、本体に組み込まれている文字列からメッセージを作成します。

添付ファイル:

・以下の拡張子を持つファイルをEXEファイルを添付します。

  • EXE
  • COM
  • SCR
  • PIF
  • BAT
  • CMD

・また、ZIPファイル(ZIPで二重に圧縮されている場合もあります)にワームのコピーが格納されている場合があります。その場合の拡張子は以下のとおりです。

  • ZIP

・添付ファイルには、以下にプラスして、ターゲットの電子メールアドレスの名前がファイル名として使用されている場合があります。

  • README
  • INSTRUCTION
  • TRANSCRIPT
  • MAIL
  • LETTER
  • FILE
  • TEXT
  • ATTACHMENT
  • DOCUMENT
  • MESSAGE

・添付ファイルには拡張子が二重に使用され、ユーザを欺くため、ファイル拡張子の間に複数のスペースが挿入されている場合があります。

電子メールアドレスの収集

・ターゲットマシンの以下のファイルタイプから電子メールアドレスを収集します。

  • DOC
  • TXT
  • HTM
  • HTML

・W32/Mydoom.o@MMは、4つの検索エンジンを照会し、返ってきた結果からアドレスを収集します。

  • http://search.lycos.com
  • http://www.altavista.com
  • http://search.yahoo.com
  • http://www.google.com

・また、ターゲットマシン上のアクティブなOutlookのウィンドウからも電子メールアドレスを収集します。

電子メールの送信対象外

・W32/Mydoom.o@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

  • spam
  • abuse
  • master
  • sample
  • accoun
  • privacycertific
  • bugs
  • listserv
  • submit
  • ntivi
  • support
  • admin
  • page
  • the.bat
  • gold-certs
  • ca
  • feste
  • not
  • help
  • foo
  • no
  • soft
  • site
  • me
  • you
  • rating
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • info
  • info
  • winrar
  • winzip
  • rarsoft
  • sf.net
  • sourceforge
  • ripe.
  • arin.
  • google
  • gnu.
  • gmail
  • seclist
  • secur
  • bar.
  • foo.com
  • trend
  • update
  • uslis
  • domain
  • example
  • sophos
  • yahoo
  • spersk
  • panda
  • hotmail
  • msn.
  • msdn.
  • microsoft
  • sarc.
  • syma
  • avp

ピアツーピアを介した繁殖

・W32/Mydoom.o@MMは、以下の文字列を含むフォルダに自身をコピーします。

  • USERPROFILE
  • yahoo.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ターゲットマシンでの実行時、W32/Mydoom.o@MMはWindowsディレクトリにJAVA.EXEとして自身をインストールします。

  • C:\WINDOWS\JAVA.EXE

・また、SERVICES.EXEファイルもこのディレクトリにドロップ(作成)します。

  • C:\WINDOWS\SERVICES.EXE

・以下のレジストリキーが追加されてシステム起動時にフックされます。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JavaVM" = %WinDir%\JAVA.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE

・以下のレジストリキーも追加されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Daemon
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

・SERVICE.EXEプロセスは、ターゲットマシン上のTCPポート1034を開いて、受信接続の受信を待機します。また、感染マシンの番号の大きいポートから、送信先ポート1034上のランダムに作成されたIPアドレスに対し、TCPネットワークトラフィックを送信します。バックドアに感染しているIPアドレスが見つかった場合、マシンのIPアドレスを暗号化して、zincite.logという名前のファイルに書き込みます。

感染方法TOPへ戻る

・W32/Mydoom.o@MMは、自身のSMTPエンジンを使用してメッセージを作成し、電子メールを介して繁殖します。ターゲットマシンから電子メールアドレスを収集し、送信メッセージの差出人のアドレスを擬装します。

駆除方法TOPへ戻る

すべてのユーザ:

現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

Stinger

Stingerが更新されており、W32/Mydoom.o@MMを検出して駆除できます。Stingerをダウンロードしてください。

McAfee System Compliance Profiler

ファイルに一致するルールを作成してください。
- ドロップダウンからWINDOWS_DIRを選択します。
- ファイル名としてJAVA.EXEを入力します。
- 次のドロップダウンで「File does not exist」を選択します。

ファイルに一致するルールを作成してください。
- ドロップダウンからWINDOWS_DIRを選択します。
- ファイル名としてSERVICES.EXEを入力します。
- 次のドロップダウンで「File does not exist」を選択します。

McAfee Desktop Firewall

リモートアクセスの可能性を防ぐために、McAfee Desktop Firewallユーザは、TCPポート1034への侵入をブロックすることができます。

McAfee ThreatScan

W32/Mydoom.oウイルスを検出できるThreatScanシグネチャは以下で入手できます。

      - ThreatScan 2.5 - ftp.nai.com/pub/security/tsc25/updates/winnt
      - ThreatScan 2.1 - ftp.nai.com/pub/security/tsc20/updates/winnt

ThreatScanシグネチャのバージョン: 2004-07-26

ThreatScanユーザは以下の設定を使ってThreatScanタスクを実行することにより、ウイルスを検出できます。

      - 「Remote Infection Detection」カテゴリ、「Windows Virus Checks」テンプレートを選択します。
-または-
      - 「Other」カテゴリ、「Scan All Vulnerabilities」テンプレートを選択します。

補足:

      - 「ThreatScan Template Report」を実行します。
      - モジュール番号4081を探します。

Network General Sniffer

Network General Snifferフィルタはhttp://www.networkgeneral.com/SnifferFilters_Details.aspx?Type=1で提供されています。