製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
W32/Mydoom@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4319
対応定義ファイル
(現在必要とされるバージョン)
4324 (現在7600)
対応エンジン4.2.40以降 (現在5600) 
エンジンバージョンの見分け方
別名Novarg (F-Secure)
W32.Novarg.A@mm (Symantec)
Win32.Mydoom.A (CA)
Win32/Shimg (CA)
WORM_MIMAIL.R (Trend)
情報掲載日04/01/27
発見日(米国日付)04/01/26
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
更新情報(2004/02/18)
感染報告が減少傾向にあるため、危険度を「中」に下げました。

更新情報(2004/02/13)
このウイルスの新種が発見されました。ファイルサイズは 24,048バイトで、上記の指定ウイルス定義ファイル使用によりW32/Mydoom.a@MMとして検出されます。この亜種の機能は以下の点を除けばW32/Mydoom.a@MMと似ています。

・メールの本文は以下の内容で送られます。
ROFL HELLO SAM HOWS UPZ. Partial message is available


更新情報(2004/01/28)

W32/Mydoom@MM緊急対策インターネットセミナー お申し込みはこちら

MyDoomウイルスを「特に手間暇かけることもなく気がついたら全自動で防げていた」というお客様の事例です。

・W32/Mydoom@MMは大量メール送信およびピアツーピアファイル共有型ウイルスで、以下のような特徴を持ちます。

  • 送信メッセージを構成するSMTPエンジンを持つ
  • バックドアコンポーネントを持つ(以下参照)
  • サービス拒否ペイロードを持つ
ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるW32/Mydoom@MMウイルスに感染したことを示すものではありません。

・W32/Mydoom@MMは以下のようなメッセージで受信されます。

差出人:(他人になりすます)
差出人に使用されているメールアドレスが必ずしも感染されているとは限りません。また、メールサーバから感染を告げる警告メッセージを受信することがありますが、この場合も感染していないことがあります。

件名:(以下のようにさまざまな形をとる)

  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi

本文:(以下のようにさまざまな形をとる)

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.

添付ファイル:(さまざまな形をとる[.exe, .pif, .cmd, .scr] ZIPアーカイブで受信される場合もある)(22,528バイト)

  • 例:(一般的なファイル名が使われるが、ランダムに選択される。)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr

・拡張子が2つ使用されている場合、複数の空白(スペース)が挿入されていることがあります。
例:

  • document.htm   (複数のスペース)   .pif

・添付ファイルをテキストファイルのように見せかけるために、以下のようなアイコンが使われる

・ファイルが実行されると、ウイルス自身をtaskmon.exeとしてWINDOWS SYSTEMディレクトリにコピーします。

  • %SysDir%\taskmon.exe

    (Windowsのシステムディレクトリを%Sysdir%と表記しています。実際にはこのようなものが入ります。: C:\WINDOWS\SYSTEM)


・ウィンドウズスタートアップをフックするために、以下のレジストリエントリーを作成します。
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
 
また、ウィンドウズディレクトリ内にDLLファイルを作成します。
  • c:\WINDOWS\SYSTEM\shimgapi.dll (4,096バイト)

・DLLファイルは、再起動中に以下のレジストリキーを経由してEXPLORER.EXEファイル内に挿入されます。

  • HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

■ピアツーピアを介した繁殖

・ウイルスは以下のようなファイル名を作成してKaZaa共有ディレクトリにウイルス自身をコピーします。

  • nuke2004
  • office_crack
  • rootkitXP
  • strip-girl-2.0bdcom_patches
  • activation_crack
  • icq2004-final
  • winamp

■リモートアクセスコンポーネント

・ウイルスはリモートアクセスが可能なことを示すTCPポート3127の接続を開きます。(この機能はドロップ(作成)されたDLLに含まれます。)(ポート3127の接続に失敗した場合は、ポート3198の接続を開きます。)また巧妙に作成されたTCPトランスミッションを使用することもあります。

  • あるトランスミッションでは、組み込まれたバイナリを一時ファイルに保存、実行します。その後その一時ファイルは削除されます。
  • TCPパケットをリレーすることでIPに虚偽の実行権を与える(SPAM配信を助けることになる)TCPトランスミッションもあります。

■サービス拒否ペイロード

・ウイルスが「2月1日午後4時9分18秒(UTC)」以降に起動した場合、大量メール送信ウイルスから”www.sco.com”に対してサービス拒否攻撃を開始するウイルスへと行動を変えます。このサービス拒否攻撃は「2月12日午前2時28分57秒(UTC)」以降で、最初にシステムを起動させた時にシステムをストップさせ、その後ウイルスは引き続きTCPポート3127(または3198まで)の聴取のみを行うようになります。ウイルス内のコードのバグのため、75%の確率でサービス拒否攻撃を失敗する可能性があります。

・サービス拒否攻撃は、感染マシン上のランダムに選択されたポートから、”www.sco.com”のポート80にHTTP GETリクエストを送信する64個のスレッドを作成し、実行されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ウイルスが実行されると、ノートパッドが開かれ意味不明な文字でいっぱいになる。

・上記のようなファイルやレジストリエントリーが存在する。

感染方法TOPへ戻る

・ウイルスのファイルはメールを介して繁殖し、KaZaa用の共有ディレクトリが存在する場合はウイルス自身をそのディレクトリにコピーします。

・メールコンポーネントがローカルシステムからアドレスを抽出します。以下の拡張子のファイルがターゲットとなります。

  • wab
  • adb
  • tbb
  • dbx
  • asp
  • php
  • sht
  • htm
  • txt
  • pl

・ウイルスは以下のような文字列を含む特定のメールアドレスの作成を避けます。

  • .gov
  • .mil
  • abuse
  • acketst
  • arin.
  • avp
  • berkeley
  • borlan
  • bsd
  • example
  • fido
  • foo.
  • fsf.
  • gnu
  • google
  • gov.
  • hotmail
  • iana
  • ibm.com
  • icrosof
  • ietf
  • inpris
  • isc.o
  • isi.e
  • kernel
  • linux
  • math
  • mit.e
  • mozilla
  • msn.
  • mydomai
  • nodomai
  • panda
  • pgp
  • rfc-ed
  • ripe.
  • ruslis
  • secur
  • sendmail
  • sopho
  • syma
  • tanford.e
  • unix
  • usenet
  • utgers.ed

・またユーザ名をランダムに作成するために、抽出されたドメイン名の先頭に以下の文字列を追加します。

  • sandra
  • linda
  • julie
  • jimmy
  • jerry
  • helen
  • debby
  • claudia
  • brenda
  • anna
  • alice
  • brent
  • adam
  • ted
  • fred
  • jack
  • bill
  • stan
  • smith
  • steve
  • matt
  • dave
  • dan
  • joe
  • jane
  • bob
  • robert
  • peter
  • tom
  • ray
  • mary
  • serg
  • brian
  • jim
  • maria
  • leo
  • jose
  • andrew
  • sam
  • george
  • david
  • kevin
  • mike
  • james
  • michael
  • john
  • alex

・最後にウイルスはSMTPを使い(SMTPエンジンを使用しメッセージを構成)自身を送信します。ワームは受信者のメールサーバを推測し、ターゲットのドメイン名の先頭に以下のような文字列を追加します。

  • mx.
  • mail.
  • smtp.
  • mx1.
  • mxs.
  • mail1.
  • relay.
  • ns.

駆除方法TOPへ戻る

■指定のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

・ウイルス感染後にシステムが再起動されると、shimgapi.dllファイルがEXPLORER.EXE内に挿入されます。この場合、システムからこのDLLファイルを削除するために再起動と再スキャンすることが必要です。



■Stinger
駆除ツールStinger(1.9.9)がこのウイルスに対応しました。Stinger起動後の再起動は必要ありません。
ダウンロードはこちら

■手動で駆除する場合 (WinNT/2K/XP)

1.TASKMON.EXE のプロセスを終了する。
2.ウィンドウズシステムディレクトリ(一般的には(typically c:\windows\system32 または c:\winnt\system32) からTASKMON.EXE を削除する。
3.レジストリーの編集

  • 以下から"TaskMon"の値を削除
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
  • (デフォルト)値をwebcheck.dllに変更
    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
4.EXPLORER.EXE のプロセスを終了する。
5.ウィンドウズタスクマネージャから、「ファイルの実行」をクリックし、EXPLORER.EXEと入力しエンターキーを押してください。
6.ウィンドウズシステムディレクトリ(一般的には(typically c:\windows\system32 または c:\winnt\system32)からSHIMGAPI.DLL ファイルを削除する。
7.システムを再起動する。

■McAfee Desktop Firewall
リモートアクセスの可能性を防ぐために、McAfee Desktop Firewallを使用してTCPポート3127をブロックできます。