McAfee for Small Businesses

・W32/Mydoom.t@MMはUPXで圧縮されています。特徴は以下のとおりです。

• 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
• ターゲットマシンから電子メールアドレスを収集します。
• 送信メッセージの差出人ヘッダーを擬装します。
• KaZaaの共有フォルダに自身をコピーします。

・W32/Mydoom.t@MMは、圧縮ファイルのスキャンを有効に設定（デフォルト）した、ウイルス定義ファイル4328（2004年2月25日）以降を実行しているゲートウェイ製品で、New Malware.bとして検出されます。

詳細

差出人：（差出人ヘッダーを擬装）
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集したアドレスか、またはウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます（例：john@mydomain.com）。

・一般的に使用される名前は以下のとおりです。

• sandra
• linda
• julie
• jimmy
• jerry
• helen
• debby
• claudia
• brenda
• anna
• alice
• brent
• adam
• ted
• fred
• jack
• bill
• stan
• smith
• steve
• matt
• dave
• dan
• joe
• jane
• bob
• robert
• peter
• tom
• ray
• mary
• serg
• brian
• jim
• maria
• leo
• jose
• andrew
• sam
• george
• david
• kevin
• mike
• james
• michael
• alex
• john

・W32/Mydoom.t@MMはローカルハードドライブを検索し、以下の拡張子を持つファイルから電子メールアドレスを収集します。

• .wab
• .pl
• .adb
• .tbb
• .dbx
• .asp
• .php
• .sht
• .htm

・W32/Mydoom.t@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

• accoun
• google
• certific
• listserv
• ntivi
• support
• icrosoft
• admin
• page
• the.bat
• gold-certs
• ca
• feste
• submit
• not
• help
• service
• privacy
• somebody
• no
• soft
• contact
• site
• rating
• bugs
• me
• you
• your
• someone
• anyone
• nothing
• nobody
• noone
• webmaster
• postmaster
• samples
• info
• root

・件名は空欄またはランダムで、ハードコード化されたリストから取得されることもあります。件名の一例は以下のとおりです。

• Hi
• hi
• Mali Delivery System
• MAIL TRANSACTION FAILED
• Status
• Test
• TEST
• HELLO
• RE:Test
• my ....
• Document

・件名と同様、本文も空またはランダムな文字で、ハードコード化されたリストから文字列が取得されることもあります。

• error, check the attachment for more information
• check the attachmetn to get the lastest news.
• !!!!!!!!!!!!, check the attachment !!!.
• loooooool ;)))
• failed to send the email!, check the attachment for more information.
• hello.
• Try Later, Check the Attachment
• (Norton ANti Virus,Panda,Mcafee No Virusses Found).
• come back my friend.

・W32/Mydoom.tは、以下のファイル名を使用して、自身を電子メールに添付します。ファイルには以下の拡張子のいずれかが使用されます。

• .EXE
• .SCR
• .PIF
• .BAT
• .CMD

・また、ZIP添付ファイルとして自身を送信することもできます。

• document.pif
• data.cmd
• readme.zip
• message.exe
• message.zip
• ymcd.pif
• Information.cmd
• Msg.zip
• document.zip
• body.exe
• Error.bat
• text.zip

・実行後、W32/Mydoom.t@MMはTASKER.EXEという名前で\%windir%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Task" = C:\WINNT\System32\tasker.exe

・また、\%windir%\system32フォルダにNEMOG.DLLをドロップ（作成）し、以下のレジストリキーを変更します。

• HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)"

・DLLのサイズは8192バイトで、ウイルス定義ファイル4390でW32/Mydoom.t.dllとして検出されます。

・W32/Mydoom.t@MMはターゲットシステム上にピアツーピアクライアントであるKaZaaがインストールされているか確認し、見つかった場合は、以下の名前を使用して、共有フォルダに複数のコピーを格納します。

• Fixtool.exe
• Vaho.exe
• SeX.exe
• cleaner.exe
• mirc.exe
• Wenrar.exe
• kazz.exe
• Winzip.exe
• crack.exe
• Upload.exe
• Vahos.exe
• netsky.exe
• mydoom.exe
• SoBig.exe
• klez.exe
• yahoo hacker.exe
• Hotmail hacker.exe
• ps2 emulator.exe
• xbox emulator.exe
• XXX Videos.exe
• XXX Pictures.exe