McAfee for Small Businesses

ウイルス名 危険度 W32/Mydoom.cf 企業ユーザ: 低[要注意] 個人ユーザ: 低[要注意] 最小定義ファイル (最初に検出を確認したバージョン) 5671 対応定義ファイル (現在必要とされるバージョン) 5673　（現在7080) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2009/07/10 発見日（米国日付） 2009/07/08 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/20 RDN/Generic.... 05/20 RDN/Generic ... 05/20 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・W32/Mydoom.cfはW32/Mydoomウイルスの亜種です。この亜種はSMTPを介して繁殖する可能性があります。 ・W32/Mydoom.cfの実行時、以下のレジストリキーが感染したホストに追加されます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ex_ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ex_\OpenWithList HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D} HKEY_CLASSES_ROOT\CLSID\{425882B0-B0BF-11CE-B59F-00AA006CB37D}\InProcServer32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NM HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NM\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NM\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NPF HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NPF\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NPF\0000\Control HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nm\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmiConfig HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmiConfig\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmiConfig\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nm\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPF\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig\Security ・自動実行を可能にするため、先に作成されたキーに対して以下のレジストリ値が設定されます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "Description" Data: Configures and manages performance library information from WMI HiPerf providers. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "DisplayName" Data: WMI Performance Configuration HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "ErrorControl" Data: [Value] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "ImagePath" Data: %SystemRoot%\system32\svchost.exe -k wmiconf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "ObjectName" Data: LocalSystem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "Start" Data: [Value] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig "Type" Data: [Value] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig\Parameters "ServiceDll" Data: %WinDir%\System32\wmiconf.dll ・ネットワーク対応のdllが期待したバージョンでない場合、更新しようとします。一例は以下のとおりです。 %WinDir%\system32\drivers\npf.sys %WinDir%\system32\Packet.dll %WinDir%\system32\WanPacket.dll %WinDir%\system32\npptools.dll %WinDir%\system32\packet.dll %WinDir%\system32\WanPacket.dll %WinDir%\system32\wpcap.dll ・ホストに以下のファイルがドロップ（作成）されます。ドロップされるファイルには、アクセスするURLのリスト、自身のコピー、dllコンポーネントが含まれます。 %WinDir%\system32\[ランダムな文字].nls - 「W32/Mydoom!txt」という名前で検出 %WinDir%\system32\wmcfg.exe - 「W32/Mydoom.cf」という名前で検出 %WinDir%\system32\wmiconf.dll - 「W32/Mydoom.cf.dll」という名前で検出 ・以下のアドレスにアクセスして、さらにマルウェアコンポーネントをダウンロードする可能性があります。 213.33.[削除] 216.199.[削除] 213.023.[削除] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・W32/Mydoom.cfのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。 感染方法 TOPへ戻る ・ウイルスは自己複製します。多くの場合、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USBドライブなどのリムーバブルメディアへの送信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、拡散する可能性があります。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足