|
|
ウイルス情報 |
| ウイルスの特徴 | TOPに戻る | |
・W32/Mydoom.w@MMはUPXで圧縮されています。特徴は以下のとおりです。
- 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
- ターゲットマシンから電子メールアドレスを収集します。
- 送信メッセージの差出人ヘッダーを擬装します。
- HTTPでBackDoor-CEB.dをダウンロードします。
詳細
差出人:
・差出人のアドレスは擬装されており、ウイルス本体にハードコード化された文字列で作成されています。アドレスは以下の一般的な名前とドメインから構成されている場合があります。
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。
- Porter
- Tucker
- Stevens
- Simpson
- Webb
- Wells
- Freeman
- Murray
- Gomez
- Ortiz
- Marshall
- Cruz
- Parker
- Campbell
- Phillips
- Turner
- Roberts
- Perez
- Mitchell
- Carter
- Nelson
- Gonzalez
- Baker
- Adams
- Green
- Hill
- Lopez
- Wright
- King
- Hernandez
- Young
- Allen
- Hall
- Walker
- Lee
- Lewis
- Rodriguez
- Clark
- Robinson
- Martinez
- Garcia
- Thompson
- Martin
- Harris
- White
- Jackson
- Anderson
- Taylor
- Moore
- Wilson
- Miller
- Davis
- Brown
- Jones
- Williams
- Johnson
- Smith
- Leon
- Tommy
- Lloyd
- Bill
- Ronnie
- Jon
- Alex
- Calvin
- Tom
- Jim
- Jay
- Oscar
- Miguel
- Clifford
- Theodore
- Micheal
- Marcus
- Francisco
- Leroy
- Mario
- Bernard
- Alexander
- Barry
- Randall
- Troy
- Ricky
- Carl
- Henry
- Douglas
- Harold
- Peter
- Patrick
- Walter
- Dennis
- Jerry
- Joshua
- Gregory
- Raymond
- Andrew
- Stephen
- Eric
- Scott
- Frank
- Jeffrey
- Larry
- Jose
- Timothy
- Gary
- Matthew
- Jason
- Kevin
- Anthony
- Ronald
- Brian
- Edward
- Steven
- Kenneth
- George
- Donald
- Mark
- Paul
- Daniel
- Christopher
- Thomas
- Joseph
- Charles
- Richard
- David
- William
- Michael
- Robert
- John
- James
- @cox.net
- @yahoo.com
- @msn.com
- @yahoo.co.uk
- @t-online.de
- @gmx.net
- @hotmail.com
- @aol.com
- @mail.com
- @dailymail.co.uk
宛先:
・W32/Mydoom.w@MMは以下のファイル拡張子を持つローカルハードドライブ上のファイルの電子メールアドレスを検索します。
- wab
- xls
- uin
- txt
- tbb
- stm
- sht
- php
- msg
- mht
- mbx
- jsp
- htm
- eml
- dht
- dbx
- cgi
- cfg
- asp
件名:
・以下のいずれかの件名が使用されている場合があります。
- FW: jenna's photos :)
- FW: new photos
- FW: 2 new photos
- FW: hi, it's me
- FW: it's me
- FW: (no subject)
- FW: that's me :-D
- FW: my photos
- FW: hello sweety :>
- FW: hi
- FW: remember me?..
本文:
- -----Original Message-----
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus check my new photos
:))
miss you, jeny k
- -----Original Message-----
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
Check Out Archive.. So.. What Do You Think... Am I Hot? :)
Waining For Your Answer
Jena Key
- -----Original Message-----
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos(archived) you asked
jenny k
- -----Original Message-----
From: jenna k. (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: Cat my new fotos archived )) kiss, jenna k
- -----Original Message-----
From: Jeny
Sent: Tuesday, September 7, 2004 8:57 PM
To: Neo
see the photos in attached archive
:))
kiss you, jeny
- -----Original Message-----
From: Jena
Sent: Tuesday, September 7, 2004 5:23 AM
To: friend
Photos in archive.. So.. Am I Hot? :)
Waining For Your Answer
Jena
- -----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
To: Friends Group
in self-extracting archive my photos
Jenna :)
- -----Original Message-----
From: jenna (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: ma kittie
my photos archived ))
kiss, jenna
- -----Original Message-----
From: Jeny K.
Sent: Tuesday, September 7, 2004 8:57 PM
To: Morpheus check out the new photos :))
miss you, jeny k
- -----Original Message-----
From: Jena K.
Sent: Tuesday, September 7, 2004 5:23 AM
To: friends
So.. What Do You Think... Am I Hot? :)
Waining For Your Answer
Jena Key
- -----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
in archive my new fotos
Jenna K :)
- -----Original Message-----
From: jenny k.
Sent: Tuesday, September 7, 2004 10:23 AM
To: My Tiger (e-mail)
new fotos you asked
jenny k
- -----Original Message-----
From: jenna k. (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: Cat
my new fotos zipped ))
kiss, jenna k
- -----Original Message-----
From: Jeny
Sent: Tuesday, September 7, 2004 8:57 PM
To: Neo
see the photos
:))
kiss you, jeny
- -----Original Message-----
From: Jena
Sent: Tuesday, September 7, 2004 5:23 AM
To: friend
So.. Am I Hot? :)
Waining For Your Answer
Jena
- -----Original Message-----
From: Jenna Knukles
Sent: Tuesday, September 7, 2004 9:05 AM
To: Friends Group
in archive my photos
Jenna :)
- -----Original Message-----
From: jenny
Sent: Tuesday, September 7, 2004 10:23 AM
To: Mr.X (e-mail)
photos you asked
jenny
- -----Original Message-----
From: jenna (e-mail)
Sent: Tuesday, September 7, 2004 11:38 AM
To: ma kittie
my photos zipped ))
kiss, jenna
フッター:
- Norton AntiVirus - www.symantec.de
- F-Secure AntiVirus - www.f-secure.com
- Norman AntiVirus - www.norman.com
- Panda AntiVirus - www.pandasoftware.com
- Kaspersky AntiVirus - www.kaspersky.com
- MC-Afee AntiVirus - www.mcafee.com
- Bitdefender AntiVirus - www.bitdefender.com
- MessageLabs AntiVirus - www.messagelabs.com
添付ファイル:
- myfoto.exe.safe
- myfoto.exe
- photos.selfextracting.exe.safe
- photoarchive.exe
- photofile.exe.safe
- arc.exe.safe
- my_foto.exe
- fotos.exe
- foto.exe
- photos.exe.safe
- photo_se.exe
- new_photos.exe
- newphotos.exe
- myphotos_arc.exe
- my_photos.exe
- photos_arc.exe
- new_photos.zip
- images.zip
- fotos.zip
- my_photos.zip
- myphotos.zip
- photos.zip
- me_01.jpg .pif
- 2004042301.jpg .pif
- with_flowers.jpg .pif
- sunny.jpg .pif
- photo08.jpg .pif
- nude_.jpg .pif
- marie_dancing.jpg .pif
- julia038.jpg .pif
・実行後、W32/Mydoom.w@MMはwin32s.exeという名前で%WINDIR%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Win32System" = %WINDIR%\System32\win32s.exe
・さらに、以下に自身をコピーします。
- C:\Documents and Settings\(現在のユーザ)\Start Menu\Programs\Startup\autorun.exe
・以下のサイトからBackDoor-CEB.dをダウンロードします。
- http://www.mercyships.de
- http://69.93.58.116
- http://64.40.98.94
- http://www.il-legno.it
- http://www.professionals-active.com
- http://www.masteratwork.com
|
|
| 以下の症状が見られる場合、このウイルスに感染している可能性があります。 | TOPへ戻る |
- 上記のファイルおよびレジストリキーが存在します。
- ポート25へのネットワークトラフィックが発生しています。
- 上記のサイトのいずれかに許可されていないHTTPトラフィックが発生しています。
|
|
| 感染方法 | TOPへ戻る | |
・W32/Mydoom.w@MMは、電子メールを介して繁殖します。上記のファイルからアドレスを収集します。ただし、以下の文字列を含むターゲットドメインには自身を送信しません。
- gold-certs
- feste
- submit
- help
- service
- privacy
- somebody
- contact
- site
- someone
- anyone
- nothing
- nobody
- noreply
- noone
- webmaster
- news
- rating
- postmaster
- samples
- info
- root
- www
- upport
- abuse
- accoun
- certific
- listserv
- bsd
- ntivi
- admin
- icq.com
- mozilla
- utgers.ed
- tanford.e
- pgp
- acketst
- secur
- isc.o
- isi.e
- ripe.
- arin.
- sendmail
- rfc-ed
- ietf
- iana
- usenet
- fido
- kernel
- google
- ibm.com
- fsf.
- gnu
- mit.e
- math
- berkeley
- support
- messagelabs
- antivi
- kasp
- linux
- unix
- spam
- @iana
- @foo.
- .mil
- gov.
- .gov
- icrosoft
- ruslis
- nodomai
- mydomai
- example
- inpris
- borlan
- sopho
- panda
- icrosof
- syman
- avp.
|
|
|
|
|  |
