製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.t@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4390
対応定義ファイル
(現在必要とされるバージョン)
4391 (現在7563)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Mydoom.t.dll WORM_MYDOOM.T (Trend)
情報掲載日2004/09/06
発見日(米国日付)2004/09/03
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/15W32/Sdbot.wo...
09/15W32/Virus.ge...
09/15FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7563
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mydoom.t@MMはUPXで圧縮されています。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの差出人ヘッダーを擬装します。
  • KaZaaの共有フォルダに自身をコピーします。
プロアクティブな検出

・W32/Mydoom.t@MMは、圧縮ファイルのスキャンを有効に設定(デフォルト)した、ウイルス定義ファイル4328(2004年2月25日)以降を実行しているゲートウェイ製品で、New Malware.bとして検出されます。

詳細

差出人:(差出人ヘッダーを擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集したアドレスか、またはウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます(例:john@mydomain.com)。

・一般的に使用される名前は以下のとおりです。

  • sandra
  • linda
  • julie
  • jimmy
  • jerry
  • helen
  • debby
  • claudia
  • brenda
  • anna
  • alice
  • brent
  • adam
  • ted
  • fred
  • jack
  • bill
  • stan
  • smith
  • steve
  • matt
  • dave
  • dan
  • joe
  • jane
  • bob
  • robert
  • peter
  • tom
  • ray
  • mary
  • serg
  • brian
  • jim
  • maria
  • leo
  • jose
  • andrew
  • sam
  • george
  • david
  • kevin
  • mike
  • james
  • michael
  • alex
  • john

・W32/Mydoom.t@MMはローカルハードドライブを検索し、以下の拡張子を持つファイルから電子メールアドレスを収集します。

  • .wab
  • .pl
  • .adb
  • .tbb
  • .dbx
  • .asp
  • .php
  • .sht
  • .htm

・W32/Mydoom.t@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

  • accoun
  • google
  • certific
  • listserv
  • ntivi
  • support
  • icrosoft
  • admin
  • page
  • the.bat
  • gold-certs
  • ca
  • feste
  • submit
  • not
  • help
  • service
  • privacy
  • somebody
  • no
  • soft
  • contact
  • site
  • rating
  • bugs
  • me
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • webmaster
  • postmaster
  • samples
  • info
  • root
件名:

・件名は空欄またはランダムで、ハードコード化されたリストから取得されることもあります。件名の一例は以下のとおりです。

  • Hi
  • hi
  • Mali Delivery System
  • MAIL TRANSACTION FAILED
  • Status
  • Test
  • TEST
  • HELLO
  • RE:Test
  • my ....
  • Document
本文:

・件名と同様、本文も空またはランダムな文字で、ハードコード化されたリストから文字列が取得されることもあります。

例:
  • error, check the attachment for more information
  • check the attachmetn to get the lastest news.
  • !!!!!!!!!!!!, check the attachment !!!.
  • loooooool ;)))
  • failed to send the email!, check the attachment for more information.
  • hello.
  • Try Later, Check the Attachment
  • (Norton ANti Virus,Panda,Mcafee No Virusses Found).
  • come back my friend.
添付ファイル:

・W32/Mydoom.tは、以下のファイル名を使用して、自身を電子メールに添付します。ファイルには以下の拡張子のいずれかが使用されます。

  • .EXE
  • .SCR
  • .PIF
  • .BAT
  • .CMD

・また、ZIP添付ファイルとして自身を送信することもできます。

例:
  • document.pif
  • data.cmd
  • readme.zip
  • message.exe
  • message.zip
  • ymcd.pif
  • Information.cmd
  • Msg.zip
  • document.zip
  • body.exe
  • Error.bat
  • text.zip

・実行後、W32/Mydoom.t@MMはTASKER.EXEという名前で\%windir%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Task" = C:\WINNT\System32\tasker.exe

・また、\%windir%\system32フォルダにNEMOG.DLLをドロップ(作成)し、以下のレジストリキーを変更します。

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)"
変更前: %SystemRoot%\System32\webcheck.dll 変更後: C:\WINNT\System32\Nemog.dll

・DLLのサイズは8192バイトで、ウイルス定義ファイル4390でW32/Mydoom.t.dllとして検出されます。

P2Pを介した繁殖

・W32/Mydoom.t@MMはターゲットシステム上にピアツーピアクライアントであるKaZaaがインストールされているか確認し、見つかった場合は、以下の名前を使用して、共有フォルダに複数のコピーを格納します。

  • Fixtool.exe
  • Vaho.exe
  • SeX.exe
  • cleaner.exe
  • mirc.exe
  • Wenrar.exe
  • kazz.exe
  • Winzip.exe
  • crack.exe
  • Upload.exe
  • Vahos.exe
  • netsky.exe
  • mydoom.exe
  • SoBig.exe
  • klez.exe
  • yahoo hacker.exe
  • Hotmail hacker.exe
  • ps2 emulator.exe
  • xbox emulator.exe
  • XXX Videos.exe
  • XXX Pictures.exe

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • ポート25へのネットワークトラフィックが発生しています。

感染方法TOPへ戻る

・W32/Mydoom.t@MMは、電子メールを介して繁殖します。メール受信者がウイルスに感染した添付ファイルを手動で実行することでマシンに感染します。動作後、上記のファイルからアドレスを収集します。

・収集されたアドレスにウイルスが送信されます。

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足