製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.p@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4383
対応定義ファイル
(現在必要とされるバージョン)
4383 (現在7576)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Mydoom.n (Kaspersky)
W32.Mydoom.N@mm (Symantec)
情報掲載日04/08/03
発見日(米国日付)04/07/31
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/28RDN/Generic ...
09/28RDN/PWS-Bank...
09/28RDN/Spybot.b...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7576
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mydoom.pはASPackで圧縮されています。

・作成されたSERVICE.EXEファイルは、W32/Mydoom.o@MMが利用していたバイナリと同じものです。このファイルはウイルス定義ファイル4381(2004年7月26日)以降で検出されます。

・W32/Mydoom.p@MMの動作はW32/Mydoom.o@MMに似ています。特徴は以下のとおりです。

  • 大量メール送信型ワームで、自身のSMTPエンジンを使用してメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • メッセージの差出人のアドレスを偽装します。
  • ピアツーピアを介した繁殖が可能なルーティンが組み込まれています。

電子メールを介した繁殖

差出人:(差出人ヘッダーを擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。
・差出人のアドレスは、収集した電子メールアドレスを使用して擬装されている場合があります。さらに、以下のアドレスを使用して、宛先不明で戻ってきたように見せかけて作成される場合もあります。
  • mailer-daemon@(ターゲットドメイン)
  • noreply@(ターゲットドメイン)
・この場合、以下の表示名が使用されます。
  • "Automatic Email Delivery Software"
  • "Bounced mail"
  • "MAILER-DAEMON"
  • "Mail Administrator"
  • "Mail Delivery Subsystem"
  • "Post Office"
  • "Returned mail"
  • "The Post Office"
件名:
・以下の件名を使用します。
  • hello
  • hi
  • error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error
本文:
・W32/Mydoom.p@MMは、本体に組み込まれている文字列からメッセージを作成します。

添付ファイル:
・以下の拡張子を持つファイルをEXEファイルを添付します。
  • EXE
  • COM
  • SCR
  • PIF
  • BAT
  • CMD
・また、ZIPファイル(ZIPで二重に圧縮されている場合もあります)にワームのコピーが格納されている場合があります。その場合の拡張子は以下のとおりです。
  • ZIP
・添付ファイルには、以下にプラスして、ターゲットの電子メールアドレスの名前がファイル名として使用されている場合があります。
  • README
  • INSTRUCTION
  • TRANSCRIPT
  • MAIL
  • LETTER
  • FILE
  • TEXT
  • ATTACHMENT
  • DOCUMENT
  • MESSAGE
・添付ファイルには拡張子が二重に使用され、ユーザを欺くため、ファイル拡張子の間に複数のスペースが挿入されている場合があります。

電子メールアドレスの収集
・ターゲットマシンの以下のファイルタイプから電子メールアドレスを収集します。
  • DOC
  • TXT
  • HTM
  • HTML
・W32/Mydoom.p@MMは、4つの検索エンジンを照会し、返ってきた結果からアドレスを収集します。
  • http://search.lycos.com
  • http://www.altavista.com
  • http://search.yahoo.com
  • http://www.google.com
・また、ターゲットマシン上のアクティブなOutlookのウィンドウからも電子メールアドレスを収集します。

電子メールの送信対象外
・W32/Mydoom.p@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。
  • spam
  • abuse
  • master
  • sample
  • accoun
  • privacycertific
  • bugs
  • listserv
  • submit
  • ntivi
  • support
  • admin
  • page
  • the.bat
  • gold-certs
  • ca
  • feste
  • not
  • help
  • foo
  • no
  • soft
  • site
  • me
  • you
  • rating
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • info
  • info
  • winrar
  • winzip
  • rarsoft
  • sf.net
  • sourceforge
  • ripe.
  • arin.
  • google
  • gnu.
  • gmail
  • seclist
  • secur
  • bar.
  • foo.com
  • trend
  • update
  • uslis
  • domain
  • example
  • sophos
  • yahoo
  • spersk
  • panda
  • hotmail
  • msn.
  • msdn.
  • microsoft
  • sarc.
  • syma
  • avp

ピアツーピアを介した繁殖

・W32/Mydoom.p@MMは、以下の文字列を含むフォルダに自身をコピーします。
  • USERPROFILE
  • yahoo.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
・ターゲットマシンでの実行時、W32/Mydoom.p@MMはWindowsディレクトリにJAVA.EXEとして自身をインストールします。
  • C:\WINDOWS\JAVA.EXE
・また、SERVICES.EXEファイルもこのディレクトリにドロップ(作成)します。
  • C:\WINDOWS\SERVICES.EXE
・以下のレジストリキーが追加されてシステム起動時にフックされます。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JavaVM" = %WinDir%\JAVA.EXE
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE
・以下のレジストリキーも追加されます。
  • HKEY_CURRENT_USER\Software\Microsoft\Daemon
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

・SERVICE.EXEプロセスは、ターゲットマシン上のTCPポート1034を開いて、受信接続の受信を待機します。また、感染マシンの番号の大きいポートから、送信先ポート1034上のランダムに作成されたIPアドレスに対し、TCPネットワークトラフィックを送信します。バックドアに感染しているIPアドレスが見つかった場合、マシンのIPアドレスを暗号化して、zincite.logという名前のファイルに書き込みます。

感染方法TOPへ戻る
・W32/Mydoom.p@MMは、自身のSMTPエンジンを使用してメッセージを作成し、電子メールを介して繁殖します。ターゲットマシンから電子メールアドレスを収集し、送信メッセージの差出人のアドレスを擬装します。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足