ウイルス情報

かかりやすさ:中

( Worm.Mydoom.Ax )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
W32/Mydoom.bb@MM
更新日:
2005年2月16日(水)
■感染したらどうなる
  • 動作中のOutlookからメールアドレスを抜き取り、勝手にウイルス付きメールを送信します。また、ファイル共有ネットワークを介して繁殖します。ネットワークのトラフィックが発生したり、パソコンの動作が不安定になった場合には要注意です。
■感染しないためには
  • 身に覚えのないメールの添付ファイルをむやみにクリックしないようにしてください。
    詳しくは「詳細情報」をご覧ください
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    また、送信するメッセージを以下のアドレスから返信したように見せかけます。
    mailer-daemon@(target_domain)
    noreply@(target_domain)
    postmaster@(target_domain)

    この場合以下の表示名が使用されます。
    "Postmaster"
    "Mail Administrator"
    "Automatic Email Delivery Software"
    "Post Office"
    "The Post Office"
    "Bounced mail"
    "Returned mail"
    "MAILER-DAEMON"
    "Mail Delivery Subsystem"

    件名:以下のいずれかの可能性があります。
    hello
    hi
    error
    status
    test
    report
    delivery failed
    Message could not be delivered
    Mail System Error - Returned Mail
    Delivery reports about your e-mail
    Returned mail: see transcript for details
    Returned mail: Data format error delivered

    本文:以下の可能性があります。
    Dear User of [受信者のドメイン名]
    We have received reports that your account was used to send a large amount of junk email messages during the week.
    Probably, your computer had been compromised and now contains a hidden proxy server.

    Please follow the instruction in the attached file in order to keep your computer safe.

    Have a nice day,
    [受信者のドメイン名] user support team.

    添付ファイル:ファイル名は以下のいずれか、もしくはターゲットのメールアドレスを使用する場合があります。
    README
    INSTRUCTION
    TRANSCRIPT
    MAIL
    LETTER
    FILE
    TEXT
    ATTACHMENT
    DOCUMENT
    MESSAGE

    拡張子は以下のいずれかを利用したEXEファイルの可能性があります。
    .EXE
    .COM
    .SCR
    .PIF
    .BAT
    .CMD

    ※添付ファイルはZIPファイルにワームのコピーを含めて、2度圧縮されている可能性があります。
    この場合拡張子は「.ZIP」になります。
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがウィンドウズディレクトリに自分自身を「JAVA.EXE」としてインストールされ、以下のレジストリの値を作成します。

    同じディレクトリに以下を作成します。
    C:\WINDOWS\SERVICES.EXE

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "JavaVM" = %WinDir%\JAVA.EXE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "Services" = %WinDir%\SERVICES.EXE

    以下のレジストリも追加されます。
    HKEY_CURRENT_USER\Software\Microsoft\Daemon
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

    ※%WinDir%は、ウィンドウズディレクトリです。
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .DOC
    .TXT
    .HTM
    .HTML

    また、以下の検索エンジンを照会し、戻ってきた結果からメールアドレスを抜き取ります。
    http://search.lycos.com
    http://www.altavista.com
    http://search.yahoo.com
    http://www.google.com

    さらに、ターゲットマシン上の、動作中のOutlookからもメールアドレスを抜き取ります。

    以下の文字列を含むアドレスには送信しません。
    spam
    abuse
    master
    sample
    accoun
    privacy
    certific
    bugs
    listserv
    submit
    ntivi
    support
    admin
    page
    the.bat
    gold-certs
    ca
    feste
    not
    help
    foo
    no
    soft
    site
    me
    you
    rating
    your
    someone
    anyone
    nothing
    nobody
    noone
    info
    info
    winrar
    winzip
    rarsoft
    sf.net
    sourceforge
    ripe.
    arin.
    google
    gnu.
    gmail
    seclist
    secur
    bar.
    foo.com
    trend
    update
    uslis
    domain
    example
    sophos
    yahoo
    spersk
    panda
    hotmail
    msn.
    msdn.
    microsoft
    sarc.
    syma
    avp
  • ファイル共有での繁殖
    以下の文字列を含むディレクトリに自分自身をコピーします。
    USERPROFILE
    yahoo.com
  • ウイルスのダウンロード
    「Backdoor.Surilla.O」をダウンロードします。
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート1034が開かれ、不正なアクセスを許可してしまいます。