ウイルス情報

ウイルス名 危険度

W32/Mydoom.u@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 インターネットワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4391
対応定義ファイル
(現在必要とされるバージョン)
4391 (現在7628)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/09/10
発見日(米国日付) 2004/09/09
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

-- 2004年9月10日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://edition.cnn.com/2004/TECH/internet/09/10/mydoom.virus.reut/


・W32/Mydoom.u@MMはUPXで圧縮されています。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの差出人ヘッダーを擬装します。
  • HTTPでBackDoor-CEB.cをダウンロードします。

詳細

差出人:(差出人ヘッダーを擬装)

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集したアドレスか、またはウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます(例:john@mydomain.com)。

・一般的に使用される名前は以下のとおりです。

  • Porter
  • Tucker
  • Stevens
  • Simpson
  • Webb
  • Wells
  • Freeman
  • Murray
  • Gomez
  • Ortiz
  • Marshall
  • Cruz
  • Parker
  • Campbell
  • Phillips
  • Turner
  • Roberts
  • Perez
  • Mitchell
  • Carter
  • Nelson
  • Gonzalez
  • Baker
  • Adams
  • Green
  • Hill
  • Lopez
  • Wright
  • King
  • Hernandez
  • Young
  • Allen
  • Hall
  • Walker
  • Lee
  • Lewis
  • Rodriguez
  • Clark
  • Robinson
  • Martinez
  • Garcia
  • Thompson
  • Martin
  • Harris
  • White
  • Jackson
  • Anderson
  • Taylor
  • Moore
  • Wilson
  • Miller
  • Davis
  • Brown
  • Jones
  • Williams
  • Johnson
  • Smith
  • Leon
  • Tommy
  • Lloyd
  • Bill
  • Ronnie
  • Jon
  • Alex
  • Calvin
  • Tom
  • Jim
  • Jay
  • Oscar
  • Miguel
  • Clifford
  • Theodore
  • Micheal
  • Marcus
  • Francisco
  • Leroy
  • Mario
  • Bernard
  • Alexander
  • Barry
  • Randall
  • Troy
  • Ricky
  • Carl
  • Henry
  • Douglas
  • Harold
  • Peter
  • Patrick
  • Walter
  • Dennis
  • Jerry
  • Joshua
  • Gregory
  • Raymond
  • Andrew
  • Stephen
  • Eric
  • Scott
  • Frank
  • Jeffrey
  • Larry
  • Jose
  • Timothy
  • Gary
  • Matthew
  • Jason
  • Kevin
  • Anthony
  • Ronald
  • Brian
  • Edward
  • Steven
  • Kenneth
  • George
  • Donald
  • Mark
  • Paul
  • Daniel
  • Christopher
  • Thomas
  • Joseph
  • Charles
  • Richard
  • David
  • William
  • Michael
  • Robert
  • John
  • James

・W32/Mydoom.u@MMはローカルハードドライブを検索し、以下の拡張子を持つファイルから電子メールアドレスを収集します。

  • wab
  • xls
  • vbs
  • uin
  • txt
  • tbb
  • stm
  • sht
  • php
  • msg
  • mht
  • jsp
  • htm
  • eml
  • dht
  • dbx
  • cgi
  • cfg
  • asp

・W32/Mydoom.u@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

  • gold-certs
  • feste
  • submit
  • help
  • service
  • privacy
  • somebody
  • contact
  • site
  • someone
  • anyone
  • nothing
  • nobody
  • noreply
  • noone
  • webmaster
  • news
  • rating
  • postmaster
  • samples
  • info
  • root
  • www
  • upport
  • abuse
  • accoun
  • certific
  • listserv
  • bsd
  • ntivi
  • admin
  • icq.com
  • mozilla
  • utgers.ed
  • tanford.e
  • pgp
  • acketst
  • secur
  • isc.o
  • isi.e
  • ripe.
  • arin.
  • sendmail
  • rfc-ed
  • ietf
  • iana
  • usenet
  • fido
  • kernel
  • google
  • ibm.com
  • fsf.
  • gnu
  • mit.e
  • math
  • berkeley
  • support
  • messagelabs
  • antivi
  • kasp
  • linux
  • unix
  • spam
  • @iana
  • @foo.
  • .mil
  • gov.
  • .gov
  • icrosoft
  • ruslis
  • nodomai
  • mydomai
  • example
  • inpris
  • borlan
  • sopho
  • panda
  • icrosof
  • syman
  • avp.
  • -._!
件名:

・件名は空欄またはランダムで、ハードコード化されたリストから取得されることもあります。件名の一例は以下のとおりです。

  • You win!
  • thanks!
  • Thank you!
  • read it immediately
  • Re: Your document
  • Re: Status
  • Re: Question
  • Re: Proof of concept
  • Re: Message
  • Re: Hi
  • Re: Hello
  • Private document
  • Notice again
  • News
  • my
  • Information
  • important
  • Hi!
  • hi
  • here
  • hello
本文:

・件名と同様、本文も空またはランダムな文字で、ハードコード化されたリストから文字列が取得されることもあります。

  • screensaverlol!
  • fun photos
  • New game
  • relax
  • Virus removal tool
  • You are infected by virus.
  • Run this exe apply this patch!
  • apply patch.
  • game
  • fun game!
  • fun!
  • lol!
  • See the file.
  • See attached file for details.
  • Please read the important document.
  • Please read the attached file.
  • Please confirm the document.
  • I have attached document.
  • Your requested mail has been attached.
  • Your archive is attached.
  • Waiting for a Response.
  • Please read the attachment. Thanks!
  • Please see the attached file for details
  • Please read the document.
  • Please read the attached file!
  • Please confirm!
  • Please answer quickly!
  • Monthly news report.
  • For more details see the attachment.
  • For further details see the attachment.
  • Can you confirm it?

・上記の後に以下のいずれかの文字列が付加されます。

  • Norton AntiVirus - www.symantec.de
  • F-Secure AntiVirus - www.f-secure.com
  • Norman AntiVirus - www.norman.com
  • Panda AntiVirus - www.pandasoftware.com
  • Kaspersky AntiVirus - www.kaspersky.com
  • MC-Afee AntiVirus - www.mcafee.com
  • Bitdefender AntiVirus - www.bitdefender.com
  • MessageLabs AntiVirus - www.messagelabs.com
添付ファイル:

・W32/Mydoom.u@MMは、以下のファイル名を使用して、自身を電子メールに添付します。ファイルには以下の拡張子のいずれかが使用されます。

  • .EXE
  • .SCR

・また、ZIP添付ファイルとして自身を送信することもできます。

例:
  • info.zip
  • new.exe
  • pic.exe
  • lol.scr
  • photo.exe
  • new.zip
  • report.zip
  • antivirus.exe
  • message,.zip

・実行後、W32/Mydoom.u@MMはWINSPF32.EXEという名前で\%windir%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "WinSPF" = C:\WINNT\System32\winspf.exe

・さらに、以下に自身をコピーします。

  • C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\rx32hh00.exe

・以下のサイトからBackDoor-CEB.cをダウンロードします。

  • http://www.llc.unibo.it/
  • http://www.surrenderzeeland.nl/
  • http://www.mercyships.de/
  • http://www.hiw.kuleuven.ac.be/
  • http://www.ach.ch/
  • http://vugs.geog.uu.nl/
  • http://www.planetboredom.net/
  • http://guttorm.hveem.no/

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 上記のファイルおよびレジストリキーが存在します。
  • ポート25へのネットワークトラフィックが発生しています。
  • BackDoor-CEB.cをダウンロードするため、上記のサイトへのHTTPトラフィックが発生しています。

TOPへ戻る

感染方法

・W32/Mydoom.u@MMは、電子メールを介して繁殖します。メール受信者がウイルスに感染した添付ファイルを手動で実行することでマシンに感染します。動作後、上記のファイルからアドレスを収集します。

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい

このウイルスには、4391定義ファイルで対応いたします。4391定義ファイルは04/09/16に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る