更新情報(2004/02/18)
感染報告が減少傾向にあるため、危険度を「中」に下げました。
更新情報(2004/02/13)
このウイルスの新種が発見されました。ファイルサイズは 24,048バイトで、上記の指定ウイルス定義ファイル使用によりW32/Mydoom.a@MMとして検出されます。この亜種の機能は以下の点を除けばW32/Mydoom.a@MMと似ています。
・メールの本文は以下の内容で送られます。
ROFL HELLO SAM HOWS UPZ. Partial message is available
更新情報(2004/01/28)
W32/Mydoom@MM緊急対策インターネットセミナー お申し込みはこちら
MyDoomウイルスを「特に手間暇かけることもなく気がついたら全自動で防げていた」というお客様の事例です。
・W32/Mydoom@MMは大量メール送信およびピアツーピアファイル共有型ウイルスで、以下のような特徴を持ちます。
- 送信メッセージを構成するSMTPエンジンを持つ
- バックドアコンポーネントを持つ(以下参照)
- サービス拒否ペイロードを持つ
ウイルスの検出・駆除が可能なMcAfee製品を最新のアップデートがなされている状態でお使いのMcAfeeユーザは、駆除ツールStingerをダウンロードして、システムがウイルスに感染しているかどうかを調べる必要はありません。(駆除方法は以下を参照)
注意:ウイルスがきたことを警告するメッセージを受信しても、それは差出人を偽装することのあるW32/Mydoom@MMウイルスに感染したことを示すものではありません。
|
・W32/Mydoom@MMは以下のようなメッセージで受信されます。
差出人:(他人になりすます)
差出人に使用されているメールアドレスが必ずしも感染されているとは限りません。また、メールサーバから感染を告げる警告メッセージを受信することがありますが、この場合も感染していないことがあります。
件名:(以下のようにさまざまな形をとる)
- Error
- Status
- Server Report
- Mail Transaction Failed
- Mail Delivery System
- hello
- hi
本文:(以下のようにさまざまな形をとる)
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
添付ファイル:(さまざまな形をとる[.exe, .pif, .cmd, .scr] ZIPアーカイブで受信される場合もある)(22,528バイト)
- 例:(一般的なファイル名が使われるが、ランダムに選択される。)
- doc.bat
- document.zip
- message.zip
- readme.zip
- text.pif
- hello.cmd
- body.scr
- test.htm.pif
- data.txt.exe
- file.scr
・拡張子が2つ使用されている場合、複数の空白(スペース)が挿入されていることがあります。
例:
- document.htm (複数のスペース) .pif
・添付ファイルをテキストファイルのように見せかけるために、以下のようなアイコンが使われる
・ファイルが実行されると、ウイルス自身をtaskmon.exeとしてWINDOWS SYSTEMディレクトリにコピーします。
・ウィンドウズスタートアップをフックするために、以下のレジストリエントリーを作成します。- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
また、ウィンドウズディレクトリ内にDLLファイルを作成します。
- c:\WINDOWS\SYSTEM\shimgapi.dll (4,096バイト)
・DLLファイルは、再起動中に以下のレジストリキーを経由してEXPLORER.EXEファイル内に挿入されます。
- HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
■ピアツーピアを介した繁殖
・ウイルスは以下のようなファイル名を作成してKaZaa共有ディレクトリにウイルス自身をコピーします。
- nuke2004
- office_crack
- rootkitXP
- strip-girl-2.0bdcom_patches
- activation_crack
- icq2004-final
- winamp
■リモートアクセスコンポーネント
・ウイルスはリモートアクセスが可能なことを示すTCPポート3127の接続を開きます。(この機能はドロップ(作成)されたDLLに含まれます。)(ポート3127の接続に失敗した場合は、ポート3198の接続を開きます。)また巧妙に作成されたTCPトランスミッションを使用することもあります。
- あるトランスミッションでは、組み込まれたバイナリを一時ファイルに保存、実行します。その後その一時ファイルは削除されます。
- TCPパケットをリレーすることでIPに虚偽の実行権を与える(SPAM配信を助けることになる)TCPトランスミッションもあります。
■サービス拒否ペイロード
・ウイルスが「2月1日午後4時9分18秒(UTC)」以降に起動した場合、大量メール送信ウイルスから”www.sco.com”に対してサービス拒否攻撃を開始するウイルスへと行動を変えます。このサービス拒否攻撃は「2月12日午前2時28分57秒(UTC)」以降で、最初にシステムを起動させた時にシステムをストップさせ、その後ウイルスは引き続きTCPポート3127(または3198まで)の聴取のみを行うようになります。ウイルス内のコードのバグのため、75%の確率でサービス拒否攻撃を失敗する可能性があります。
・サービス拒否攻撃は、感染マシン上のランダムに選択されたポートから、”www.sco.com”のポート80にHTTP GETリクエストを送信する64個のスレッドを作成し、実行されます。
