製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.w@MM
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4391
対応定義ファイル
(現在必要とされるバージョン)
4391 (現在7607)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2004/09/14
発見日(米国日付)2004/09/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

・W32/Mydoom.w@MMはUPXで圧縮されています。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの差出人ヘッダーを擬装します。
  • HTTPでBackDoor-CEB.dをダウンロードします。

詳細

差出人:

・差出人のアドレスは擬装されており、ウイルス本体にハードコード化された文字列で作成されています。アドレスは以下の一般的な名前とドメインから構成されている場合があります。

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

  • Porter
  • Tucker
  • Stevens
  • Simpson
  • Webb
  • Wells
  • Freeman
  • Murray
  • Gomez
  • Ortiz
  • Marshall
  • Cruz
  • Parker
  • Campbell
  • Phillips
  • Turner
  • Roberts
  • Perez
  • Mitchell
  • Carter
  • Nelson
  • Gonzalez
  • Baker
  • Adams
  • Green
  • Hill
  • Lopez
  • Wright
  • King
  • Hernandez
  • Young
  • Allen
  • Hall
  • Walker
  • Lee
  • Lewis
  • Rodriguez
  • Clark
  • Robinson
  • Martinez
  • Garcia
  • Thompson
  • Martin
  • Harris
  • White
  • Jackson
  • Anderson
  • Taylor
  • Moore
  • Wilson
  • Miller
  • Davis
  • Brown
  • Jones
  • Williams
  • Johnson
  • Smith
  • Leon
  • Tommy
  • Lloyd
  • Bill
  • Ronnie
  • Jon
  • Alex
  • Calvin
  • Tom
  • Jim
  • Jay
  • Oscar
  • Miguel
  • Clifford
  • Theodore
  • Micheal
  • Marcus
  • Francisco
  • Leroy
  • Mario
  • Bernard
  • Alexander
  • Barry
  • Randall
  • Troy
  • Ricky
  • Carl
  • Henry
  • Douglas
  • Harold
  • Peter
  • Patrick
  • Walter
  • Dennis
  • Jerry
  • Joshua
  • Gregory
  • Raymond
  • Andrew
  • Stephen
  • Eric
  • Scott
  • Frank
  • Jeffrey
  • Larry
  • Jose
  • Timothy
  • Gary
  • Matthew
  • Jason
  • Kevin
  • Anthony
  • Ronald
  • Brian
  • Edward
  • Steven
  • Kenneth
  • George
  • Donald
  • Mark
  • Paul
  • Daniel
  • Christopher
  • Thomas
  • Joseph
  • Charles
  • Richard
  • David
  • William
  • Michael
  • Robert
  • John
  • James
  • @cox.net
  • @yahoo.com
  • @msn.com
  • @yahoo.co.uk
  • @t-online.de
  • @gmx.net
  • @hotmail.com
  • @aol.com
  • @mail.com
  • @dailymail.co.uk
宛先:

・W32/Mydoom.w@MMは以下のファイル拡張子を持つローカルハードドライブ上のファイルの電子メールアドレスを検索します。

  • wab
  • xls
  • uin
  • txt
  • tbb
  • stm
  • sht
  • php
  • msg
  • mht
  • mbx
  • jsp
  • htm
  • eml
  • dht
  • dbx
  • cgi
  • cfg
  • asp
件名:

・以下のいずれかの件名が使用されている場合があります。

  • FW: jenna's photos :)
  • FW: new photos
  • FW: 2 new photos
  • FW: hi, it's me
  • FW: it's me
  • FW: (no subject)
  • FW: that's me :-D
  • FW: my photos
  • FW: hello sweety :>
  • FW: hi
  • FW: remember me?..
本文:
  • -----Original Message-----
    From: Jeny K.
    Sent: Tuesday, September 7, 2004 8:57 PM
    To: Morpheus check my new photos
    :))
    miss you, jeny k
  • -----Original Message-----
    From: Jena K.
    Sent: Tuesday, September 7, 2004 5:23 AM
    To: friends
    Check Out Archive.. So.. What Do You Think... Am I Hot? :)
    Waining For Your Answer
    Jena Key
  • -----Original Message-----
    From: jenny k.
    Sent: Tuesday, September 7, 2004 10:23 AM
    To: My Tiger (e-mail)
    new fotos(archived) you asked
    jenny k
  • -----Original Message-----
    From: jenna k. (e-mail)
    Sent: Tuesday, September 7, 2004 11:38 AM
    To: Cat my new fotos archived )) kiss, jenna k
  • -----Original Message-----
    From: Jeny
    Sent: Tuesday, September 7, 2004 8:57 PM
    To: Neo
    see the photos in attached archive
    :))
    kiss you, jeny
  • -----Original Message-----
    From: Jena
    Sent: Tuesday, September 7, 2004 5:23 AM
    To: friend
    Photos in archive.. So.. Am I Hot? :)
    Waining For Your Answer
    Jena
  • -----Original Message-----
    From: Jenna Knukles
    Sent: Tuesday, September 7, 2004 9:05 AM
    To: Friends Group
    in self-extracting archive my photos
    Jenna :)
  • -----Original Message-----
    From: jenna (e-mail)
    Sent: Tuesday, September 7, 2004 11:38 AM
    To: ma kittie
    my photos archived ))
    kiss, jenna
  • -----Original Message-----
    From: Jeny K.
    Sent: Tuesday, September 7, 2004 8:57 PM
    To: Morpheus check out the new photos :))
    miss you, jeny k
  • -----Original Message-----
    From: Jena K.
    Sent: Tuesday, September 7, 2004 5:23 AM
    To: friends
    So.. What Do You Think... Am I Hot? :)
    Waining For Your Answer
    Jena Key
  • -----Original Message-----
    From: Jenna Knukles
    Sent: Tuesday, September 7, 2004 9:05 AM
    in archive my new fotos
    Jenna K :)
  • -----Original Message-----
    From: jenny k.
    Sent: Tuesday, September 7, 2004 10:23 AM
    To: My Tiger (e-mail)
    new fotos you asked
    jenny k
  • -----Original Message-----
    From: jenna k. (e-mail)
    Sent: Tuesday, September 7, 2004 11:38 AM
    To: Cat
    my new fotos zipped ))
    kiss, jenna k
  • -----Original Message-----
    From: Jeny
    Sent: Tuesday, September 7, 2004 8:57 PM
    To: Neo
    see the photos
    :))
    kiss you, jeny
  • -----Original Message-----
    From: Jena
    Sent: Tuesday, September 7, 2004 5:23 AM
    To: friend
    So.. Am I Hot? :)
    Waining For Your Answer
    Jena
  • -----Original Message-----
    From: Jenna Knukles
    Sent: Tuesday, September 7, 2004 9:05 AM
    To: Friends Group
    in archive my photos
    Jenna :)
  • -----Original Message-----
    From: jenny
    Sent: Tuesday, September 7, 2004 10:23 AM
    To: Mr.X (e-mail)
    photos you asked
    jenny
  • -----Original Message-----
    From: jenna (e-mail)
    Sent: Tuesday, September 7, 2004 11:38 AM
    To: ma kittie
    my photos zipped ))
    kiss, jenna
フッター:
  • Norton AntiVirus - www.symantec.de
  • F-Secure AntiVirus - www.f-secure.com
  • Norman AntiVirus - www.norman.com
  • Panda AntiVirus - www.pandasoftware.com
  • Kaspersky AntiVirus - www.kaspersky.com
  • MC-Afee AntiVirus - www.mcafee.com
  • Bitdefender AntiVirus - www.bitdefender.com
  • MessageLabs AntiVirus - www.messagelabs.com
添付ファイル:
  • myfoto.exe.safe
  • myfoto.exe
  • photos.selfextracting.exe.safe
  • photoarchive.exe
  • photofile.exe.safe
  • arc.exe.safe
  • my_foto.exe
  • fotos.exe
  • foto.exe
  • photos.exe.safe
  • photo_se.exe
  • new_photos.exe
  • newphotos.exe
  • myphotos_arc.exe
  • my_photos.exe
  • photos_arc.exe
  • new_photos.zip
  • images.zip
  • fotos.zip
  • my_photos.zip
  • myphotos.zip
  • photos.zip
  • me_01.jpg .pif
  • 2004042301.jpg .pif
  • with_flowers.jpg .pif
  • sunny.jpg .pif
  • photo08.jpg .pif
  • nude_.jpg .pif
  • marie_dancing.jpg .pif
  • julia038.jpg .pif

・実行後、W32/Mydoom.w@MMはwin32s.exeという名前で%WINDIR%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Win32System" = %WINDIR%\System32\win32s.exe

・さらに、以下に自身をコピーします。

  • C:\Documents and Settings\(現在のユーザ)\Start Menu\Programs\Startup\autorun.exe

・以下のサイトからBackDoor-CEB.dをダウンロードします。

  • http://www.mercyships.de
  • http://69.93.58.116
  • http://64.40.98.94
  • http://www.il-legno.it
  • http://www.professionals-active.com
  • http://www.masteratwork.com

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • ポート25へのネットワークトラフィックが発生しています。
  • 上記のサイトのいずれかに許可されていないHTTPトラフィックが発生しています。

感染方法TOPへ戻る

・W32/Mydoom.w@MMは、電子メールを介して繁殖します。上記のファイルからアドレスを収集します。ただし、以下の文字列を含むターゲットドメインには自身を送信しません。

  • gold-certs
  • feste
  • submit
  • help
  • service
  • privacy
  • somebody
  • contact
  • site
  • someone
  • anyone
  • nothing
  • nobody
  • noreply
  • noone
  • webmaster
  • news
  • rating
  • postmaster
  • samples
  • info
  • root
  • www
  • upport
  • abuse
  • accoun
  • certific
  • listserv
  • bsd
  • ntivi
  • admin
  • icq.com
  • mozilla
  • utgers.ed
  • tanford.e
  • pgp
  • acketst
  • secur
  • isc.o
  • isi.e
  • ripe.
  • arin.
  • sendmail
  • rfc-ed
  • ietf
  • iana
  • usenet
  • fido
  • kernel
  • google
  • ibm.com
  • fsf.
  • gnu
  • mit.e
  • math
  • berkeley
  • support
  • messagelabs
  • antivi
  • kasp
  • linux
  • unix
  • spam
  • @iana
  • @foo.
  • .mil
  • gov.
  • .gov
  • icrosoft
  • ruslis
  • nodomai
  • mydomai
  • example
  • inpris
  • borlan
  • sopho
  • panda
  • icrosof
  • syman
  • avp.

駆除方法TOPへ戻る
■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足