ウイルス情報

かかりやすさ:中

( Worm.Mydoom.e )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年2月19日(水)
■感染したらどうなる
  • eメールの添付ファイルを実行して"File is corrupted" とか"File can not be opened"、"Unable to open specified file" というエラーメッセージが表示されたら、もう感染しています。
    その後は、パソコン内のメールアドレスを自動で探し出し、知らないうちにウイルスを添付したメールを無断送信します。これらはメールソフトで送るわけではないので、自覚症状はありません。
  • 感染が拡大しているため、2004年2月23日(月)に"かかりやすさが"低"から"中"へ引き上げられました。
■感染しないためには
  • メールに添付された添付ファイルを実行しないようにしてください。
    添付ファイルのファイル名はランダムに変化しますが、使用される拡張子は以下の通りです。
     .pif
     .scr
     .exe
     .cmd
     .bat
     .zip
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。

    差出人:詐称されています。
     jerry
     bill
     smith
     jim
     sam
     james
     alex
     <ランダムな文字列>

    eメールアドレスのドメイン名は次のいずれかです。
     aol.com
     msn.com
     yahoo.com
     hotmail.com
     <ランダムな文字列.edu>

    件名:以下のいずれかになります。
     (空欄
     =P Announcement
     Announcement
     ApprovedNews
     Attention
     automatic responder
     Bug
     Current Status
     EXPIRED ACCOUNT
     For your information
     hello
     hi, it's me
     hi
     IMPORTANT
     Information Warning
     Love is Love is...
     Please read
     Please reply
     Re: Approved
     Re: Thank You
     Re:
     Read it immediately
     read now!
     Read this
     Readme
     Recent news
     Recent news
     Something for you
     Undeliverable message
     Unknown
     You have 1 day left
     You use illegal File Sharing... Your IP was logged
     Your account is about to be expired
     Your credit card
     Your order is being processed
     Your order was registered
     Your request is being processed
     Your request was registered

    本文:以下のいずれかになります。
     You are bad
     Take it
     Reply
     Please, reply
     Information about you
     Greetings
     See you
     Here it is
     We have received this document from your e-mail.
     Kill the writer of this document!
     Something about you
     I have your password :)
     You are a bad writer
     Is that yours?
     Is that from you?
     I wait for your reply.
     Here is the document.
     Read the details.
     I'm waiting
     Okay
     OK
     Everything ok?
     Check the attached document.
     The document was sent in compressed format.
     Please see the attached file for details
     See the attached file for details
     Details are in the attached document. You need Microsoft Office to open it.

    添付ファイル:ファイル名はランダムに変化しますが、拡張子は以下の通りです。
     .pif
     .scr
     .exe
     .cmd
     .bat
     .zip

    添付ファイルを実行した場合
    感染すると"File is corrupted" というエラーメッセージのウインドウが表示されます。また、"File can not be opened" または "Unable to open specified file" というエラーメッセージの可能性もあります。
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
     以下に自分自身をコピーします。
     CWINDOWS?SYSTEM?(ランダムなファイル名) (Windows 98/Me)
     C?WINNT?SYSTEM32?(ランダムなファイル名) (Windows 2000)
     C?WINDOWS?SYSTEM32?(ランダムなファイル名) (Windows XP)
     以下のレジストリの値を作成します。
     HKEY_LOCAL_MACHINE?Software?Microsoft?Windows?
     CurrentVersion?Run "nhch" = %SYSDIR%?(ランダムなファイル名)
     HKEY_CURRENT_USER?Software?Microsoft?Windows? CurrentVersion?Shell
     HKEY_LOCAL_MACHINE?Software?Microsoft?Windows? CurrentVersion?Shell

    以下の名前のプロセスを終了させようとします。
     avp.
     avp32
     intrena
     mcafe
     navapw
     navw3
     norton
     reged
     taskmg
     taskmo
  • 大量メール送信
    このウイルスは、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
     .adb
     .asp
     .dbx
     .eml
     .hp
     .htm
     .mbx
     .mht
     .mmf
     .msg
     .nch
     .ods
     .oft
     .pl
     .rtf
     .sht
     .tbb
     .txt
     .uin
     .vbs
     .wab

    自分自身をコピー
    このウイルスは、ローカルのハードディスクやドライブのさまざまなディレクトリに、".zip"、または".exe"ファイルで自身のコピーを作成します。ファイル名はランダムです。
    また、ローカルのハードドライブを検索して、"bmp、avi、jpg、sav、xls、doc、mdb"の拡張子がついたファイルを削除します。

    システムの日付が毎月17日から22日の間の場合、このウイルスは、以下のWebサイトに対してDOS(サービス拒否)攻撃を開始するようにプログラムされています。
     www.microsoft.com
     www.riaa.com