ウイルス情報

マイドゥーム・M

( Worm.Mydoom.m )

メール添付ファイルから感染する［メール無断送信］ワーム

別名＿：

W32.Mydoom.M@mm

更新日：

2004年7月26日(月)

■感染したらどうなる

• パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。
  インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。

■感染しないためには

• メールに添付された添付ファイルを実行しないようにしてください。
  使用される拡張子は「.cmd、.bat、.com、.exe、.pif、.scr、.zip」です。詳しくは「詳細情報」をご覧ください。

■どうすれば直る

• 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

■詳細情報

• 送信されるメールの形式は以下の通りですのでご注意ください。
  差出人：感染したパソコンからランダムにメールアドレスを取得し、なりすまします。
  
  添付ファイル:以下のいずれかの可能性があります。
  使用される拡張子は「.cmd、.bat、.com、.exe、.pif、.scr、.zip」です。
  readme
  instruction
  transcript
  mail
  letter
  file
  text
  attachment
  document
  message
  
  ※ZIPの添付ファイルは二重に圧縮されている場合があります。
  ※添付ファイルには拡張子が二重に使用されている場合があります。
  
  件名:以下のいずれかの可能性があります。
  say helo to my litl friend
  click me baby, one more time
  hello
  error
  status
  test
  report
  delivery failed
  Message could not be delivered
  Mail System Error - Returned Mail
  Delivery reports about your e-mail
  Returned mail: see transcript for details
  Returned mail: Data format error
  
  本文:以下の可能性があります。
  マイドゥーム・Oは、本体に組み込まれている文字列から以下のようにランダムにメッセージを作成します。
  
• Dear user {<受信メールアドレス>|of <recipient's email domain>},{ {{M|m}ail {system|server} administrator|administration} of <受信メールドメイン> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
  {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
  {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
  {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
  {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
  {<受信メールドメイン> {user |technical |}support team.|The <受信メールドメイン> {support |}team.}
  
• {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
  Your message {was not|could not be} delivered because the destination {computer|server} was
  {not |un}reachable within the allowed queue period. The amount of time
  a message is queued before it is returned depends on local configura-
  tion parameters.
  Most likely there is a network problem that prevented delivery, but
  it is also possible that the computer is turned off, or does not
  have a mail system running right now.
  
• Your message {was not|could not be} delivered within <random number> days:
  {{{Mail s|S}erver}|Host} <メールサーバー名>} is not responding.
  The following recipients {did|could} not receive this message:
  <<受信メールアドレス>>
  Please reply to postmaster@{<送信メールドメイン>|<受信メールドメイン>}
  if you feel this message to be in error.
  The original message was received at [current time]{
  | }from {<送信メールドメイン> ]|{<メールサーバー名>]|]}}
  ----- The following addresses had permanent fatal errors -----
  {<<受信メールアドレス>>|<受信メールアドレス>}
  {----- Transcript of {the ||}session follows -----
  ... while talking to {host |{mail |}server ||||}{<受信メールドメイン>.|<メールサーバー名>]}:
  {>>> MAIL F{rom|ROM}:[From address of mail]
  <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<r受信メールアドレス>>... {Mail quota exceeded|Message is too
  large}
  554 <<受信メールアドレス>>... Service unavailable|550 5.1.2 <<受信メールアドレス>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
  Session aborted{, reason: lost connection|}|>>> RCPT To:<<受信メールアドレス>>
  <<< 550 {MAILBOX NOT FOUND|5.1.1 <<受信メールアドレス>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
  {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
  |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
  |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
  |}<<< 400}|}
  The original message was included as attachment
  
• {{The|Your} m|M}essage could not be delivered
  
  注意:
  <受信メールアドレス> メール受信者のメールアドレスを表わします。
  <受信メールドメイン> メール受信者のドメインを表わします。例えば、メールアドレスが tarou@sourcenext.com の場合、ドメインは "sourcenext.com"です。
  <送信メールドメイン> メール送信者のドメイン。たとえば、メールアドレスが john_doe@example.com であった場合、ドメインは "example.com."です。
  <メールサーバー名> 感染したコンピュータによって使用されたメールサーバー名。このワームは感染されたコンピュータのレジストリからこの情報を収集します。
  
• レジストリの値を作成
  添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。
  
  以下に自分自身をコピーします。
  %Windir%\java.exe
  %Windir%\services.exe
  
  システム起動時にウイルスが実行されるように、レジストリの値を作成します。
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  "Services" = "%Windir%\services.exe"
  "JavaVM" = "%Windir%\java.exe"
  
  %Windir%は、Windowsのインストールディレクトリです。
  
• 大量メール送信
  このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。 また、Outlookのウィンドウからも電子メールアドレスを収集します。
  .adb
  .asp
  .dbx
  .htm
  .php
  .pl
  .sht
  .tbb
  .txt
  .wab
  .doc
  .html
  
  以下の文字列を含むアドレスには送信しません。
  mailer-d
  spam
  abuse
  master
  sample
  accou
  privacycertific
  bugs
  listserv
  submit
  ntivi
  support
  admin
  page
  the.bat
  gold-certs
  feste
  not
  help
  foo
  soft
  site
  rating
  you
  your
  someone
  anyone
  nothing
  nobody
  noone
  info
  winrar
  winzip
  rarsoft
  sf.net
  sourceforge
  ripe.
  arin.
  google
  gnu.
  gmail
  seclist
  secur
  bar.
  foo.com
  trend
  update
  uslis
  domain
  example
  sophos
  yahoo
  spersk
  panda
  hotmail
  msn.
  msdn.
  microsoft
  sarc.
  syma
  avp
  
  また、4つの検索エンジンを照会し、返ってきた結果からアドレスを収集します。
  
  http://search.lycos.com
  http://www.altavista.com
  http://search.yahoo.com
  http://www.google.com