| 対応定義ファイル |
定義ファイルバージョン 1.548 (20031031)以降で対応済みです。 |
| ウイルスの対処方法 |
検出ファイルを削除してください |
| ウイルスに関する危険度 |
3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Mimail.C
Win32/Mimail.C は、電子メールの添付ファイルで拡散するワームです。このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。UPXユーティリティで圧縮されたワームのサイズは12,832バイトです。解凍するとサイズは、450KBになります。
注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを %windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである "System" や "System32" は
%system% と表記しています。
このワームは、Re[2]: our private photos という題名で始まるメッセージ(メール)として広がります。
このメールの題名は続けてランダムな文字列が組み合わされることもあります。メールの本文には以下のテキストがあります。
Hello Dear!,
Finally
i've
found
possibility
to
right
u,
my
lovely
girl
:)
All
our
photos
which
i've
made
at
the
beach
(even
when
u're
without
ur
bh:))
photos
are
great!
This
evening
i'll
come
and
we'll
make
the
best
SEX
:)
Right now enjoy the photos.
Kiss, James.
メールの添付ファイルの名前は、photos.zip です。このファイルは、photos.jpg.exe が圧縮されたものです。
このファイルが実行されると、Win32/Mimail.C ワームは、%windir% ディレクトリに
そのコピーを netwatch.exe というファイル名で作成します。また、12,832バイトの
exe.tmp を、12,958バイトの zip.tmp というファイルも作成します。
このワームは、システムレジストリキー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
の NetWatch32 という項目に、%windir%\netwatch.exe を設定してオペレーティングシステムの再起動後に活動を開始します。
このワームは、電子メールを経由して感染を広めるために、以下の拡張子を持つファイルを除き、ハードディスク上のファイルからメールアドレスを取得します。
com
bmp
jpg
gif
exe
dll
avi
mpg
mp3
vxd
ocx
psd
tif
zip
rar
pdf
cab
wav
com
Win32/Mimail.C は、発見したメールアドレスを %windir%\eml.tmp に保存して、そのアドレスにワームのコピーを送信します。
NOD32アンチウイルスは、更新を行うことなく拡張ヒューリスティックを使用することにより、
Win32/Mimail.Cを検出することができます。ウイルス定義ファイルは1.548にて対応しています。 |
