W32/Mydoom.y@MM | ウイルス情報

製品情報

導入事例

-	最新ウイルス一覧
-	ウイルス検索
-	駆除ツール
-	主要ウイルスナビゲータ
-	Daily DATリリースに関するFAQ
-	ウイルス絵とき理解
-	ウイルス画像事典
-	ウイルス解析依頼
-	ウイルス用語集
-	ウイルスの危険度格付け
-	セキュリティ対策のヒント
-	無料セキュリティ情報サービス

Home → セキュリティ情報 → ウイルス情報：M

ウイルス情報

ウイルス名

危険度

W32/Mydoom.y@MM

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]

種別	ウイルス
最小定義ファイル (最初に検出を確認したバージョン)	4391
対応定義ファイル (現在必要とされるバージョン)	4391　（現在7080)
対応エンジン	4.3.20以降　(現在5.4.00)　エンジンバージョンの見分け方
別名	I-Worm.Mydoom.x (AVP) W32.Mydoom.W@mm (Symantec) W32/MyDoom-X (Sophos) W32/Mydoom.Y.worm (Panda) Win32.Mydoom.Z (CA) WORM_MYDOOM.X (Trend)
情報掲載日	2004/09/16
発見日（米国日付）	2004/09/15
駆除補足	ウイルス駆除のヒント


	最新ウイルス

05/19	RDN/Generic ...
05/19	Generic Down...
05/19	RDN/Download...

		定義ファイル・エンジンのダウンロード!
	定義ファイル：7080 エンジン：5.4.00

		ウイルス検索

ウイルスの特徴

TOPに戻る

-- 2004年9月15日更新 --

・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。

http://news.zdnet.co.uk/communications/networks/0,39020345,39166546,00.htm

・W32/Mydoom.y@MMはFSGで圧縮されています。特徴は以下のとおりです。

自身のSMTPエンジンを使用して電子メールメッセージを作成します。
ターゲットマシンから電子メールアドレスを収集します。
送信メッセージの差出人ヘッダーを擬装します。
ダウンローダ型トロイの木馬およびキーロガー型トロイの木馬をドロップ（作成）します。
HTTPでBackDoor-CEB.dをダウンロードします。

詳細

差出人：（差出人ヘッダーを擬装）

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集したアドレスか、またはウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます（例：john@mydomain.com）。

・一般的に使用される名前は以下のとおりです。

Tom
Marcus
Troy
Walter
Eric
Matthew
Kenneth
Charles
Tommy
Jim
Francisco
Ricky
Dennis
Scott
Jason
George
Richard
Lloyd
Jay
Leroy
Carl
Jerry
Frank
Kevin
Donald
David
Bill
Oscar
Mario
Henry
Joshua
Jeffrey
Anthony
Mark
William
Ronnie
Miguel
Bernard
Douglas
Gregory
Larry
Ronald
Paul
Michael
Jon
Clifford
Alexander
Harold
Raymond
Jose
Brian
Daniel
Robert
Alex
Theodore
Barry
Peter
Andrew
Timothy
Edward
Thomas
John
Calvin
Micheal
Randall
Patrick
Stephen
Gary
Steven
Joseph
James

・W32/Mydoom.y@MMはローカルハードドライブを検索し、以下の拡張子を持つファイルから電子メールアドレスを収集します。

txt
htm
html
mbx
mdx
xml
jsp
xls
uin
msg
wsh
cgi
eml
cfg
vbs
sht
php
asp
dbx
tbb
adb
pl
wab

・W32/Mydoom.y@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

icrosof
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
acketst
pgp
tanford.e
utgers.ed
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
notsubmit
feste
ca
gold-certs
the.bat
page
admin
microsoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accounts
pmf
cnz
www
secur
abuse

件名：

・件名は空欄またはランダムで、ハードコード化されたリストから取得されることもあります。件名の一例は以下のとおりです。

Monthly news report.
Virus removal tool
apply this patch!
fun game!
lol!
fun!
See the file.
screensaverlol!
Your archive is attached.
check!
Error

本文：

・件名と同様、本文も空またはランダムな文字で、ハードコード化されたリストから文字列が取得されることもあります。

test
Please read the important document.
I have attached document.
Waiting for a Response. Please read the attachment.
Thanks!
Please see the attached file for details
Please read the attached file!
Please confirm!
Please answer quickly!
For more details see the attachment.
For further details see the attachment.

・上記の後に以下のいずれかの文字列が付加されます。

Hello Check the attachment.
Here is the attachment.
:-)
Here is my photo.:-)

・上記の後に以下のいずれかの文字列が付加されます。

+++ Attachment: No Virus found
+++ Attachment: No Infection found

・上記の後に以下のいずれかの文字列が付加されます。

Norton AntiVirus - www.symantec.com
F-Secure AntiVirus - www.f-secure.com
Norman AntiVirus - www.norman.com
Panda AntiVirus - www.pandasoftware.com
Kaspersky AntiVirus - www.kaspersky.com
MC-Afee AntiVirus - www.mcafee.com
Bitdefender AntiVirus - www.bitdefender.com
MessageLabs AntiVirus - www.messagelabs.com

添付ファイル：

・W32/Mydoom.y@Mmは、異なるファイル名を使用して、自身をメッセージに添付します。ユーザが添付ファイルを手動で実行することで感染します。

・実行後、W32/Mydoom.y@MMはoz11111.exeという名前で\%windir%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "www.symantec.com" = C:\WINNT\System32\oz11111.exe

・さらに以下のファイルをドロップ（作成）します。

c:\WINDOWS\oz2.exe - copy of the worm
c:\WINDOWS\system32\About_Mydoom.txt - text file with author notes
c:\WINDOWS\system32\Doompic.jpg - image of boy
c:\WINDOWS\system32\Downxz.bat - Downloader-PP trojan downloads BackDoor-CEB.d
c:\WINDOWS\system32\log32zx.exe - Keylog-YKL trojan
c:\WINDOWS\Temp\services.exe - W32/Mydoom.o@MM virus

・さらに以下のレジストリキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Downxz" = C:\WINDOWS\System32\Downxz.bat
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Microsoft Windows updaterD" = C:\WINDOWS\System32\log32zx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "oz2" = C:\WINDOWS\oz2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "Services" = C:\WINDOWS\TEMP\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る

上記のファイルおよびレジストリキーが存在します。

ポート25へのネットワークトラフィックが発生しています。

W32/Mydoom.y@MMには、www.symantec.comへのDoS（サービス拒否）攻撃を仕掛けるペイロードが組み込まれています。

感染方法 TOPへ戻る

・W32/Mydoom.y@MMは、電子メールを介して繁殖します。メール受信者がウイルスに感染した添付ファイルを手動で実行することでマシンに感染します。動作後、上記のファイルからアドレスを収集します。

駆除方法 TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。
Windows ME/XPでの駆除についての補足

McAfee for Small Businesses

Navigation

Utility Navigation

Footer