ウイルス情報
かかりやすさ:中
マイトブ・au
( Worm.Mytob.au )
メール添付ファイルから感染する[メール無断送信]ワーム
- 別名_:
- W32.Mydoom.BO@mm/BQ@mm , WORM_MYTOB.EC/ED/EG
2005年05月08日(日)
- ■感染したらどうなる
-
- パソコン内の特定の拡張子からメールアドレスを収集し、勝手にウイルス付きメールを送信します。特定のwebサイトが表示できなくなったり、攻撃者による不正侵入を許してしまったりする可能性があります。
- ■感染しないためには
-
- 身に覚えのないメールの添付ファイルをむやみにクリックしないようにしてください。
詳しくは「詳細情報」をご覧ください。
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
- ■詳細情報
-
- 送信されるメールの形式は以下の通りですのでご注意ください。
差出人:なりすまします。
件名:以下のように、eメールのアカウントの注意喚起などを装った件名が記載されている可能性があります。
Email Account Suspension
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
Notice: Last Warning
Notice:*Your email account will be suspended*
Security measures
Your email account access is restricted
Your Email Account is Suspended For Security Reasons
本文:以下のように、添付ファイルを開くように促す英語の文章が書かれています。
Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
To unblock your email account acces, please see the attachement.
Please see the attachement.
We have suspended some of your email services, to resolve the problem you should read the attached document.
To safeguard your email account from possible termination, please see the attached file.
please look at attached document.
Account Information Are Attached!
添付ファイル:ファイル名は以下のいずれかの可能性があります。
email-doc
info
text
doc
your_details
document_full
INFO
IMPORTANT
info-text
拡張子は以下の可能性があります。
.pif
.scr
.exe
.cmd
.bat
.zip
- レジストリの値を作成
添付ファイルを実行すると、ウィンドウズディレクトリに自分自身を「1hellbot.exe.」または「internet.exe」としてインストールし、以下のレジストリの値を作成します。
以下のレジストリに"HELLBOT TEST" = "1hellbot.exe"または"Internet Services" = "internet.exe"を追加して、システム起動時に必ず動くようにします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
以下のレジストリの値を"Start" = "4"に修正してウィンドウズXP SP2のファイアウォールを無効にする可能性があります。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
- 大量メール送信
このウイルスは、以下のハードディスク内を検索して、以下の拡張子から、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
.adb
.asp
.dbx
.htm*
.php
.sht*
.tbb
.txt
.wab
以下の文字列を含むアドレスには送信しません。
Hostmaster
Support
Administrator
Mail
Service
Admin
Info
Staff
Register
Validation
Webmaster
ドメインに以下の文字列を含むアドレスには送信しません。
spm
fcnz
www
secur
abuse
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
aster
webmaster
noone
nobody
nothing
anyone
someone
your
you
bugs
rating
site
contact
soft
somebody
privacy
service
help
not
submit
feste
gold-certs
the.bat
page
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
- プロセスの終了
以下の文字列を含むプロセスを強制終了させます。
regedit.exe
msconfig.exe
cmd.exe
taskmgr.exe
netstat.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
PandaAVEngine.exe
- セキュリティ関連のwebサイトの表示を防止
以下の文字列を含むwebサイトへのアクセスを拒否します。
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.trendmicro.com
www.grisoft.com
www.microsoft.com
- 不正アクセスの許可
このウイルスに感染すると、TCPポート6677を開き、不正アクセスを許す可能性があります。ポートが開かれると攻撃者に以下のような操作をされてしまいます。
実行ファイルのダウンロード
侵入者が決定するIRCコマンドを実行
感染コンピュータの再起動