・W32/Mydoom.q@MMはW32/Evaman@MMに似ており、以下の特徴を持つ電子メールの添付ファイルとして届きます。
差出人:(差出人ヘッダーを擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。
・差出人のアドレスは、ウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます(例:john@mydomain.com)。
・一般的に使用される名前は以下のとおりです。
- barbara
- daniel
- david
- eric
- jason
- jennifer
- jessica
- joe
- john
- karen
- kevin
- linda
- mary
- mike
- nancy
- pamela
- patricia
- robert
- sarah
- susan
件名:(以下のいずれか)
- Delivery Status (Secure)
- failed transaction
- Re: Extended Mail
- Re: hello (Secure-Mail)
- Re: Server Reply
- Secure delivery
- SN: New secure mail
- SN: Server Status
本文:(一例は以下のとおり)
要素1
- ドメイン :: Automatically Secure Delivery: for 電子メールアドレス
- ドメイン :: Mail Delivery Server System: for 電子メールアドレス
- ドメイン :: Extended secure mail message available at: 電子メールアドレス
- ドメイン :: Secure Mail Server Notification: for 電子メールアドレス
- ドメイン :: New mail secure method implement: for 電子メールアドレス
要素2
- New policy requested by mail server to returned mail as a secure compiled attachment (Zip).
- Now a new message is available as secure Zip file format. Due to new policies on clients.
- This message is available as a secure Zip file format due to a new security policy.
- For security measures this message has been packed as Zip format. This is a newly added security feature.
- New policy recommends to enclose all messages as Zip format. Your message is available in this server notice.
- You have received a message that implements secure delivery technology. Message available as a secure Zip file.
要素3
- This message is an automatically server notice from Administration at ドメイン
- Server Notice:New security feature added.MSG:ID: 455sec86 from ドメイン
- New feature added for security reasons from ドメイン
- Automatically server notice:, Server reply from ドメイン
- New service policy for security added from ドメイン
添付ファイル:(以下のいずれか)
- attachment
- document
- file
- mail
- message
- readme
- text
- transcript
・上記の後に以下のいずれかの拡張子が付加されます。
- .zip
- .exe
- -txt.exe
- -htm.exe
- -txt.scr
・添付ファイルが手動で実行されると、W32/Mydoom.q@MMは[メモ帳]を実行します。
・W32/Mydoom.q@MMは、winlibs.exeという名前でWindowsのシステムディレクトリ(例:c:\Windows\System32)に自身をコピーし、システムの起動時に自身をロードするレジストリ実行キーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "winlibs.exe" = C:\WINDOWS\System32\winlibs.exe
・さらに、以下のレジストリキーが作成されます。
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\winlibs
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\winlibs
・W32/Mydoom.q@MMは、以下の拡張子を含むファイルを分析して、ローカルシステムから電子メールアドレスを抽出します。
- adb
- asp
- cfg
- dbx
- dhtm
- eml
- htm
- html
- js
- jse
- jsp
- mmf
- msg
- ods
- php
- pl
- sht
- shtm
- shtml
- tbb
- txt
- wab
- xml
・また、さらに受信者のアドレスを収集するため、Yahooを照会します。
- http://email.people.yahoo.com:80/py/psSearch.py ?
・以下の文字列を含む電子メールアドレスは対象から除外します。
- .edu
- .gov
- .mil
- @MM
- @mm
- 32.
- ample
- arsoft
- ating
- avp
- Bug
- bug
- buse
- cafee
- ccoun
- cribe
- CRIBE
- dmin
- ebmast
- ecur
- eport
- eturn
- gmail
- help
- ibm
- ICROSOFT
- icrosoft
- inpris
- inrar
- inux
- inzip
- irus
- ists
- list
- msdn
- msn
- nfo
- ntivi
- omain
- omment
- ompu
- oogle
- oot
- opho
- orton
- otmail
- panda
- pdate
- persk
- rend
- ruslis
- Sale
- sale
- sarc
- senet
- soft
- spam
- Spam
- SPAM
- ugs
- umit
- upport
- user
- USER
- ware
- win
- ymant
- YOU
- you
