McAfee for Small Businesses

-- 2004年9月10日更新 --

・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。
http://edition.cnn.com/2004/TECH/internet/09/10/mydoom.virus.reut/

・W32/Mydoom.u@MMはUPXで圧縮されています。特徴は以下のとおりです。

• 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
• ターゲットマシンから電子メールアドレスを収集します。
• 送信メッセージの差出人ヘッダーを擬装します。
• HTTPでBackDoor-CEB.cをダウンロードします。

詳細

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集したアドレスか、またはウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます（例：john@mydomain.com）。

・一般的に使用される名前は以下のとおりです。

• Porter
• Tucker
• Stevens
• Simpson
• Webb
• Wells
• Freeman
• Murray
• Gomez
• Ortiz
• Marshall
• Cruz
• Parker
• Campbell
• Phillips
• Turner
• Roberts
• Perez
• Mitchell
• Carter
• Nelson
• Gonzalez
• Baker
• Adams
• Green
• Hill
• Lopez
• Wright
• King
• Hernandez
• Young
• Allen
• Hall
• Walker
• Lee
• Lewis
• Rodriguez
• Clark
• Robinson
• Martinez
• Garcia
• Thompson
• Martin
• Harris
• White
• Jackson
• Anderson
• Taylor
• Moore
• Wilson
• Miller
• Davis
• Brown
• Jones
• Williams
• Johnson
• Smith
• Leon
• Tommy
• Lloyd
• Bill
• Ronnie
• Jon
• Alex
• Calvin
• Tom
• Jim
• Jay
• Oscar
• Miguel
• Clifford
• Theodore
• Micheal
• Marcus
• Francisco
• Leroy
• Mario
• Bernard
• Alexander
• Barry
• Randall
• Troy
• Ricky
• Carl
• Henry
• Douglas
• Harold
• Peter
• Patrick
• Walter
• Dennis
• Jerry
• Joshua
• Gregory
• Raymond
• Andrew
• Stephen
• Eric
• Scott
• Frank
• Jeffrey
• Larry
• Jose
• Timothy
• Gary
• Matthew
• Jason
• Kevin
• Anthony
• Ronald
• Brian
• Edward
• Steven
• Kenneth
• George
• Donald
• Mark
• Paul
• Daniel
• Christopher
• Thomas
• Joseph
• Charles
• Richard
• David
• William
• Michael
• Robert
• John
• James

・W32/Mydoom.u@MMはローカルハードドライブを検索し、以下の拡張子を持つファイルから電子メールアドレスを収集します。

• wab
• xls
• vbs
• uin
• txt
• tbb
• stm
• sht
• php
• msg
• mht
• jsp
• htm
• eml
• dht
• dbx
• cgi
• cfg
• asp

・W32/Mydoom.u@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

• gold-certs
• feste
• submit
• help
• service
• privacy
• somebody
• contact
• site
• someone
• anyone
• nothing
• nobody
• noreply
• noone
• webmaster
• news
• rating
• postmaster
• samples
• info
• root
• www
• upport
• abuse
• accoun
• certific
• listserv
• bsd
• ntivi
• admin
• icq.com
• mozilla
• utgers.ed
• tanford.e
• pgp
• acketst
• secur
• isc.o
• isi.e
• ripe.
• arin.
• sendmail
• rfc-ed
• ietf
• iana
• usenet
• fido
• kernel
• google
• ibm.com
• fsf.
• gnu
• mit.e
• math
• berkeley
• support
• messagelabs
• antivi
• kasp
• linux
• unix
• spam
• @iana
• @foo.
• .mil
• gov.
• .gov
• icrosoft
• ruslis
• nodomai
• mydomai
• example
• inpris
• borlan
• sopho
• panda
• icrosof
• syman
• avp.
• -._!

・件名は空欄またはランダムで、ハードコード化されたリストから取得されることもあります。件名の一例は以下のとおりです。

• You win!
• thanks!
• Thank you!
• read it immediately
• Re: Your document
• Re: Status
• Re: Question
• Re: Proof of concept
• Re: Message
• Re: Hi
• Re: Hello
• Private document
• Notice again
• News
• my
• Information
• important
• Hi!
• hi
• here
• hello

・件名と同様、本文も空またはランダムな文字で、ハードコード化されたリストから文字列が取得されることもあります。

• screensaverlol!
• fun photos
• New game
• relax
• Virus removal tool
• You are infected by virus.
• Run this exe apply this patch!
• apply patch.
• game
• fun game!
• fun!
• lol!
• See the file.
• See attached file for details.
• Please read the important document.
• Please read the attached file.
• Please confirm the document.
• I have attached document.
• Your requested mail has been attached.
• Your archive is attached.
• Waiting for a Response.
• Please read the attachment. Thanks!
• Please see the attached file for details
• Please read the document.
• Please read the attached file!
• Please confirm!
• Please answer quickly!
• Monthly news report.
• For more details see the attachment.
• For further details see the attachment.
• Can you confirm it?

・上記の後に以下のいずれかの文字列が付加されます。

• Norton AntiVirus - www.symantec.de
• F-Secure AntiVirus - www.f-secure.com
• Norman AntiVirus - www.norman.com
• Panda AntiVirus - www.pandasoftware.com
• Kaspersky AntiVirus - www.kaspersky.com
• MC-Afee AntiVirus - www.mcafee.com
• Bitdefender AntiVirus - www.bitdefender.com
• MessageLabs AntiVirus - www.messagelabs.com

・W32/Mydoom.u@MMは、以下のファイル名を使用して、自身を電子メールに添付します。ファイルには以下の拡張子のいずれかが使用されます。

• .EXE
• .SCR

・また、ZIP添付ファイルとして自身を送信することもできます。

• info.zip
• new.exe
• pic.exe
• lol.scr
• photo.exe
• new.zip
• report.zip
• antivirus.exe
• message,.zip

・実行後、W32/Mydoom.u@MMはWINSPF32.EXEという名前で\%windir%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WinSPF" = C:\WINNT\System32\winspf.exe

・さらに、以下に自身をコピーします。

• C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\rx32hh00.exe

・以下のサイトからBackDoor-CEB.cをダウンロードします。

• http://www.llc.unibo.it/
• http://www.surrenderzeeland.nl/
• http://www.mercyships.de/
• http://www.hiw.kuleuven.ac.be/
• http://www.ach.ch/
• http://vugs.geog.uu.nl/
• http://www.planetboredom.net/
• http://guttorm.hveem.no/