ウイルス情報

ウイルス名 危険度

W32/Mytob.gen@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4438
対応定義ファイル
(現在必要とされるバージョン)
4637 (現在7709)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
別名 Net-Worm.Win32.Mytob (AVP)
W32.Mytob
W32/Mytob
情報掲載日 2005/03/29
発見日(米国日付) 2005/03/02
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

-- 2005年5月18日更新 米国日付 --

W32/Mytob.gen@MMは、100を超えるMytobの亜種の検出です。Mytobの作者がソースコードを変更し、新しい亜種をリリースする際、それらのいくつかはW32/Mytob.gen@MMとして検出されますが、なかにはW32/Mytob.gen@MMとして検出されないものもあります。しかし、これらのウイルスの検出を提供する、一般的な検出のルーチンは、定期的に変更されています。 

-- 2005年4月13日更新 米国日付 --

Mytobの製作者は、1日に多数の亜種をリリースしています。現在96種類の亜種の存在が確認されています。これらの多くは単に同じバイナリを再パッケージ化したバージョンで、ほとんどの亜種の機能は同じものです。メール送信のルーチンはほぼ同じものを利用したままですが、ボットの機能性はSdbotワーム種にあわせて進化しています。新しい亜種は、FURootkitおよび W32/Mytob.worm!imと検出されるInstant Messenger worm のコンポーネントを含み、LSASS および DCOM RPCの脆弱性を利用して繁殖します。

-- 2005年3月24日更新 米国日付 --

AVERTは、この1時間でW32/Mytobの3つの新しい亜種を受け取りました。圧縮または暗号化の複数の形態を使用するこれらの亜種は、ウイルス定義ファイル4455に検出が追加されました。元のファイルは以下のように認識されますが、このウィルスは実行ファイルの最後にゴミを追加するため、複製されたサンプルはファイルのハッシュやサイズによって認識することができません。

  • 55,808 bytes (MD5: 3bd3dbd1bfe64ceaba2422f70ed6a69d)
  • 54,272 bytes (MD5: a23865437b5ea46c123b880b9726a249)
  • 58,808 bytes (MD5: 8817839e27e829f38c6f2041a7b92e40)
この亜種は、Cドライブのルートフォルダにhellmsn.exeというファイルを作成します。
(リリースされたウイルス定義ファイルでは、W32/Generic.eと検出されます。)

・W32/Mytob.genはW32/Mydoom@MMの機能とW32/Sdbot.wormの機能が組み合わされた大量メール送信型ワームの複数の亜種を網羅します。以下の情報はそのうちの一部の亜種に関するものです。

・以下のような電子メールメッセージで届きます。

差出人:(擬装)
・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

件名:(一例は以下のとおり)
  • Error
  • Status
  • Server Report
  • Mail Transaction Failed
  • Mail Delivery System
  • hello
  • hi
本文:(一例は以下のとおり)
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available.
添付ファイル:(さまざまな名前に..bat、.exe、.pif、.cmd、.scrの拡張子が付けられており、多くの場合、ZIP形式で圧縮されています。)
  • 例(一般的な名前は以下のとおりですが、この限りではありません。)
  • doc.bat
  • document.zip
  • message.zip
  • readme.zip
  • text.pif
  • hello.cmd
  • body.scr
  • test.htm.pif
  • data.txt.exe
  • file.scr

・ファイル拡張子が2つある場合、以下のように、間に複数のスペースが挿入されていることがあります。

  • document.htm (多数のスペース) .pif

・添付ファイルが実行されると、W32/Mytob.gen@MMはwfdmgr.exe wfdmgr.exeというファイル名でWindowsのシステムディレクトリ(一般的にはc:\windows\system32)に自身をコピーします。さらに、作成したファイルが起動時にロードされるよう、以下のレジストリキーを作成します。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "LSA" = wfdmgr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "LSA" = wfdmgr.exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices "LSA" = wfdmgr.exe

・W32/Sdbot.wormに関連する以下のキーと値を作成します。

  • HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa "LSA" = wfdmgr.exe
  • HKEY_CURRENT_USER\Software\Microsoft\OLE
    "LSA" = wfdmgr.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・W32/Mytob.gen@MMのSdbotの機能を利用して、irc.blackcarder.netという名前のIRCサーバに接続し、指定されたチャネルに参加して、さらなる指示の受信待機を行います。このbotは他のプログラムをダウンロードして実行するコマンドを受信できます。また、botには、LSASSの脆弱性[http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.mspx]を利用して繁殖するコードも組み込まれています。

TOPへ戻る

感染方法

・メールコンポーネントはローカルシステムからアドレスを収集します。以下の拡張子を持つファイルがターゲットになります。

  • wab
  • adb
  • tbb
  • dbx
  • asp
  • php
  • sht
  • htm
  • txt
  • pl

・ただし、以下の文字列を使用するアドレスには送信しません。

  • .gov
  • .mil
  • abuse
  • acketst
  • arin.
  • avp
  • berkeley
  • borlan
  • bsd
  • example
  • fido
  • foo.
  • fsf.
  • gnu
  • google
  • gov.
  • hotmail
  • iana
  • ibm.com
  • icrosof
  • ietf
  • inpris
  • isc.o
  • isi.e
  • kernel
  • linux
  • math
  • mit.e
  • mozilla
  • msn.
  • mydomai
  • nodomai
  • panda
  • pgp
  • rfc-ed
  • ripe.
  • ruslis
  • secur
  • sendmail
  • sopho
  • syma
  • tanford.e
  • unix
  • usenet
  • utgers.ed

・さらに、W32/Mytob.gen@MMには文字列が組み込まれており、これらを利用して電子メールアドレスをランダムに生成したり推測したりします。これらは、ユーザ名として、収集されたドメイン名の先頭に付加されます。

  • sandra
  • linda
  • julie
  • jimmy
  • jerry
  • helen
  • debby
  • claudia
  • brenda
  • anna
  • alice
  • brent
  • adam
  • ted
  • fred
  • jack
  • bill
  • stan
  • smith
  • steve
  • matt
  • dave
  • dan
  • joe
  • jane
  • bob
  • robert
  • peter
  • tom
  • ray
  • mary
  • serg
  • brian
  • jim
  • maria
  • leo
  • jose
  • andrew
  • sam
  • george
  • david
  • kevin
  • mike
  • james
  • michael
  • john
  • alex

・W32/Mytob.gen@MMはSMTP経由で自身を送信します。メッセージは自身が持つSMTPエンジンで作成されます。受信者の電子メールサーバを推測し、以下の文字列にターゲットのドメイン名を付加します。

  • mx.
  • mail.
  • smtp.
  • mx1.
  • mxs.
  • mail1.
  • relay.
  • ns.

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る