|
|
ウイルス情報| 種別 | ウイルス | 最小定義ファイル
(最初に検出を確認したバージョン) | 4383 | 対応定義ファイル
(現在必要とされるバージョン) | 4383 (現在7080) | | 対応エンジン | 4.3.20以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | I-Worm.Mydoom.n (Kaspersky)
W32.Mydoom.N@mm (Symantec) | | 情報掲載日 | 04/08/03 | | 発見日(米国日付) | 04/07/31 | | 駆除補足 | ウイルス駆除のヒント
| |
|
|
| ウイルスの特徴 | TOPに戻る | |
・W32/Mydoom.pはASPackで圧縮されています。
・作成されたSERVICE.EXEファイルは、W32/Mydoom.o@MMが利用していたバイナリと同じものです。このファイルはウイルス定義ファイル4381(2004年7月26日)以降で検出されます。
・W32/Mydoom.p@MMの動作はW32/Mydoom.o@MMに似ています。特徴は以下のとおりです。
- 大量メール送信型ワームで、自身のSMTPエンジンを使用してメッセージを作成します。
- ターゲットマシンから電子メールアドレスを収集します。
- メッセージの差出人のアドレスを偽装します。
- ピアツーピアを介した繁殖が可能なルーティンが組み込まれています。
電子メールを介した繁殖
差出人:(差出人ヘッダーを擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。
・差出人のアドレスは、収集した電子メールアドレスを使用して擬装されている場合があります。さらに、以下のアドレスを使用して、宛先不明で戻ってきたように見せかけて作成される場合もあります。
- mailer-daemon@(ターゲットドメイン)
- noreply@(ターゲットドメイン)
・この場合、以下の表示名が使用されます。
- "Automatic Email Delivery Software"
- "Bounced mail"
- "MAILER-DAEMON"
- "Mail Administrator"
- "Mail Delivery Subsystem"
- "Post Office"
- "Returned mail"
- "The Post Office"
件名:
・以下の件名を使用します。
- hello
- hi
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
本文:
・W32/Mydoom.p@MMは、本体に組み込まれている文字列からメッセージを作成します。
添付ファイル:
・以下の拡張子を持つファイルをEXEファイルを添付します。
・また、ZIPファイル(ZIPで二重に圧縮されている場合もあります)にワームのコピーが格納されている場合があります。その場合の拡張子は以下のとおりです。
・添付ファイルには、以下にプラスして、ターゲットの電子メールアドレスの名前がファイル名として使用されている場合があります。
- README
- INSTRUCTION
- TRANSCRIPT
- MAIL
- LETTER
- FILE
- TEXT
- ATTACHMENT
- DOCUMENT
- MESSAGE
・添付ファイルには拡張子が二重に使用され、ユーザを欺くため、ファイル拡張子の間に複数のスペースが挿入されている場合があります。
電子メールアドレスの収集
・ターゲットマシンの以下のファイルタイプから電子メールアドレスを収集します。
・W32/Mydoom.p@MMは、4つの検索エンジンを照会し、返ってきた結果からアドレスを収集します。
- http://search.lycos.com
- http://www.altavista.com
- http://search.yahoo.com
- http://www.google.com
・また、ターゲットマシン上のアクティブなOutlookのウィンドウからも電子メールアドレスを収集します。
電子メールの送信対象外
・W32/Mydoom.p@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。
- spam
- abuse
- master
- sample
- accoun
- privacycertific
- bugs
- listserv
- submit
- ntivi
- support
- admin
- page
- the.bat
- gold-certs
- ca
- feste
- not
- help
- foo
- no
- soft
- site
- me
- you
- rating
- your
- someone
- anyone
- nothing
- nobody
- noone
- info
- info
- winrar
- winzip
- rarsoft
- sf.net
- sourceforge
- ripe.
- arin.
- google
- gnu.
- gmail
- seclist
- secur
- bar.
- foo.com
- trend
- update
- uslis
- domain
- example
- sophos
- yahoo
- spersk
- panda
- hotmail
- msn.
- msdn.
- microsoft
- sarc.
- syma
- avp
ピアツーピアを介した繁殖
・W32/Mydoom.p@MMは、以下の文字列を含むフォルダに自身をコピーします。
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
・ターゲットマシンでの実行時、W32/Mydoom.p@MMはWindowsディレクトリにJAVA.EXEとして自身をインストールします。
・また、SERVICES.EXEファイルもこのディレクトリにドロップ(作成)します。
・以下のレジストリキーが追加されてシステム起動時にフックされます。
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JavaVM" = %WinDir%\JAVA.EXE
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE
・以下のレジストリキーも追加されます。
- HKEY_CURRENT_USER\Software\Microsoft\Daemon
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
・SERVICE.EXEプロセスは、ターゲットマシン上のTCPポート1034を開いて、受信接続の受信を待機します。また、感染マシンの番号の大きいポートから、送信先ポート1034上のランダムに作成されたIPアドレスに対し、TCPネットワークトラフィックを送信します。バックドアに感染しているIPアドレスが見つかった場合、マシンのIPアドレスを暗号化して、zincite.logという名前のファイルに書き込みます。
|
|
| 感染方法 | TOPへ戻る | |
・W32/Mydoom.p@MMは、自身のSMTPエンジンを使用してメッセージを作成し、電子メールを介して繁殖します。ターゲットマシンから電子メールアドレスを収集し、送信メッセージの差出人のアドレスを擬装します。
|
|
|
|
|  |
