キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Mimail.J
公開日:2003年11月25日
このウイルスに関する危険度 :■■■□□
対応定義ファイル 定義ファイルバージョン 1.558 (20031118)以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


■ Win32/Mimail.J

Win32/Mimail.J は、電子メールの添付ファイルで拡散するワームです。UPXユーティリティで圧縮されたワームのサイズは13,856バイトです。解凍するとサイズは、500KBになります。このワームはWindows95以降のWindowsオペレーティングシステム上で動作します。

注意:
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを %windir% と表記しており、インストール時の設定により異なる場合があります。 %windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

Win32/Mimail.J は、表面上、paypal.com から送信されたメッセージ(メール)として広がります。そのメールの題名は、"IMPORTANT" です。メールの本文は次のようです。


Dear PayPal member,

We regret to inform you that your account is about to be expired in next five
business days. To avoid suspension of your account you have to reactivate it
by providing us with your personal information.

To update your personal profile and continue using PayPal services you have to run
the attached application to this email. Just run it and follow the instructions.

IMPORTANT! If you ignore this alert, your account will be suspended in next five
business days and you will not be able to use PayPal anymore.

Thank you for using PayPal.


メールの添付ファイルは、www.paypal.com.pif というファイル名であり、このファイルの中にワームが含まれています。

ワームが実行されると、%windir% ディレクトリにそのコピーを svchost32.exe および ee98af.tmp というファイル名で作成します。どちらもサイズは 13,856バイトです。このワームは、システムレジストリキー
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
の SvcHost32 という項目に、%windir%\svchost32.exe を設定してオペレーティングシステムの再起動後にワームをコピーする活動を開始します。さらに、このワームは、Cドライブのルートディレクトリに、
pp.gif, pp.hta および index2.hta を作成します。ファイルのサイズは、それぞれ、902バイト、3,534バイト、 7,588バイトです。
このワームは、 pp.hta と index2.hta を順に使って、クレジットカードのデータを入力させるためのフォーム(ウィンドウ)を表示します。

フォームへの入力が完了して、"Next"ボタンをクリックすると、入力されたデータは、C:\ppinfo.sys ファイルに保存されます。その後、Win32/Mimail.J は、入力されたデータをあらかじめ決められた電子メールアドレスへ送信することを試みます。

このワームは、電子メールを経由して感染を広めるために、以下の拡張子を持つファイルを除き、ハードディスク上のファイルからメールアドレスを取得します。

bmp
jpg
gif
exe
dll
avi
mpg
mp3
vxd
ocx
psd
tif
zip
rar
pdf
cab
wav
com

Win32/Mimail.J は、発見したメールアドレスを %windir%\el288.tmp に保存して、そのアドレスにワームのコピーを送信します。

NOD32アンチウイルスは、更新を行うことなく拡張ヒューリスティックを使用することにより、
Win32/Mimail.Jを検出することができます。ウイルス定義ファイルは1.558にて対応しています。

このページのトップへ

(C)Canon IT Solutions Inc.