製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom.y@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4391
対応定義ファイル
(現在必要とされるバージョン)
4391 (現在7563)
対応エンジン4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名I-Worm.Mydoom.x (AVP) W32.Mydoom.W@mm (Symantec) W32/MyDoom-X (Sophos) W32/Mydoom.Y.worm (Panda) Win32.Mydoom.Z (CA) WORM_MYDOOM.X (Trend)
情報掲載日2004/09/16
発見日(米国日付)2004/09/15
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/15W32/Sdbot.wo...
09/15W32/Virus.ge...
09/15FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7563
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
-- 2004年9月15日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。

http://news.zdnet.co.uk/communications/networks/0,39020345,39166546,00.htm

・W32/Mydoom.y@MMはFSGで圧縮されています。特徴は以下のとおりです。

  • 自身のSMTPエンジンを使用して電子メールメッセージを作成します。
  • ターゲットマシンから電子メールアドレスを収集します。
  • 送信メッセージの差出人ヘッダーを擬装します。
  • ダウンローダ型トロイの木馬およびキーロガー型トロイの木馬をドロップ(作成)します。
  • HTTPでBackDoor-CEB.dをダウンロードします。

詳細

差出人:(差出人ヘッダーを擬装)

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

・差出人のアドレスは、収集したアドレスか、またはウイルス本体に格納された一般的な名前に受信者のドメイン名を付加して、作成されます(例:john@mydomain.com)。

・一般的に使用される名前は以下のとおりです。

  • Tom
  • Marcus
  • Troy
  • Walter
  • Eric
  • Matthew
  • Kenneth
  • Charles
  • Tommy
  • Jim
  • Francisco
  • Ricky
  • Dennis
  • Scott
  • Jason
  • George
  • Richard
  • Lloyd
  • Jay
  • Leroy
  • Carl
  • Jerry
  • Frank
  • Kevin
  • Donald
  • David
  • Bill
  • Oscar
  • Mario
  • Henry
  • Joshua
  • Jeffrey
  • Anthony
  • Mark
  • William
  • Ronnie
  • Miguel
  • Bernard
  • Douglas
  • Gregory
  • Larry
  • Ronald
  • Paul
  • Michael
  • Jon
  • Clifford
  • Alexander
  • Harold
  • Raymond
  • Jose
  • Brian
  • Daniel
  • Robert
  • Alex
  • Theodore
  • Barry
  • Peter
  • Andrew
  • Timothy
  • Edward
  • Thomas
  • John
  • Calvin
  • Micheal
  • Randall
  • Patrick
  • Stephen
  • Gary
  • Steven
  • Joseph
  • James

・W32/Mydoom.y@MMはローカルハードドライブを検索し、以下の拡張子を持つファイルから電子メールアドレスを収集します。

  • txt
  • htm
  • html
  • mbx
  • mdx
  • xml
  • jsp
  • xls
  • uin
  • msg
  • wsh
  • cgi
  • eml
  • cfg
  • vbs
  • sht
  • php
  • asp
  • dbx
  • tbb
  • adb
  • pl
  • wab

・W32/Mydoom.y@MMは、以下の文字列を含むターゲットドメインには自身を送信しません。

  • icrosof
  • panda
  • sopho
  • borlan
  • inpris
  • example
  • mydomai
  • nodomai
  • ruslis
  • .gov
  • gov.
  • .mil
  • foo.
  • unix
  • math
  • bsd
  • mit.e
  • gnu
  • fsf.
  • ibm.com
  • kernel
  • linux
  • fido
  • usenet
  • iana
  • ietf
  • rfc-ed
  • sendmail
  • arin.
  • ripe.
  • isi.e
  • isc.o
  • acketst
  • pgp
  • tanford.e
  • utgers.ed
  • root
  • info
  • samples
  • postmaster
  • webmaster
  • noone
  • nobody
  • nothing
  • anyone
  • someone
  • your
  • you
  • me
  • bugs
  • rating
  • site
  • contact
  • soft
  • no
  • somebody
  • privacy
  • service
  • help
  • notsubmit
  • feste
  • ca
  • gold-certs
  • the.bat
  • page
  • admin
  • microsoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • google
  • accounts
  • pmf
  • cnz
  • www
  • secur
  • abuse
件名:

・件名は空欄またはランダムで、ハードコード化されたリストから取得されることもあります。件名の一例は以下のとおりです。

  • Monthly news report.
  • Virus removal tool
  • apply this patch!
  • fun game!
  • lol!
  • fun!
  • See the file.
  • screensaverlol!
  • Your archive is attached.
  • check!
  • Error
本文:

・件名と同様、本文も空またはランダムな文字で、ハードコード化されたリストから文字列が取得されることもあります。

  • test
  • Please read the important document.
  • I have attached document.
  • Waiting for a Response. Please read the attachment.
  • Thanks!
  • Please see the attached file for details
  • Please read the attached file!
  • Please confirm!
  • Please answer quickly!
  • For more details see the attachment.
  • For further details see the attachment.

・上記の後に以下のいずれかの文字列が付加されます。

  • Hello Check the attachment.
  • Here is the attachment.
  • :-)
  • Here is my photo.:-)

・上記の後に以下のいずれかの文字列が付加されます。

  • +++ Attachment: No Virus found
  • +++ Attachment: No Infection found

・上記の後に以下のいずれかの文字列が付加されます。

添付ファイル:

・W32/Mydoom.y@Mmは、異なるファイル名を使用して、自身をメッセージに添付します。ユーザが添付ファイルを手動で実行することで感染します。

・実行後、W32/Mydoom.y@MMはoz11111.exeという名前で\%windir%\system32フォルダに自身をコピーし、以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "www.symantec.com" = C:\WINNT\System32\oz11111.exe

・さらに以下のファイルをドロップ(作成)します。

  • c:\WINDOWS\oz2.exe - copy of the worm
  • c:\WINDOWS\system32\About_Mydoom.txt - text file with author notes
  • c:\WINDOWS\system32\Doompic.jpg - image of boy
  • c:\WINDOWS\system32\Downxz.bat - Downloader-PP trojan downloads BackDoor-CEB.d
  • c:\WINDOWS\system32\log32zx.exe - Keylog-YKL trojan
  • c:\WINDOWS\Temp\services.exe - W32/Mydoom.o@MM virus

・さらに以下のレジストリキーを作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Run "Downxz" = C:\WINDOWS\System32\Downxz.bat
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Run "Microsoft Windows updaterD" = C:\WINDOWS\System32\log32zx.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Run "oz2" = C:\WINDOWS\oz2.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Run "Services" = C:\WINDOWS\TEMP\services.exe
  • HKEY_CURRENT_USER\Software\Microsoft\Daemon
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  • Explorer\ComDlg32\Version
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Explorer\ComDlg32\Version

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • ポート25へのネットワークトラフィックが発生しています。
  • W32/Mydoom.y@MMには、www.symantec.comへのDoS(サービス拒否)攻撃を仕掛けるペイロードが組み込まれています。

感染方法TOPへ戻る

・W32/Mydoom.y@MMは、電子メールを介して繁殖します。メール受信者がウイルスに感染した添付ファイルを手動で実行することでマシンに感染します。動作後、上記のファイルからアドレスを収集します。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足