キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Mydoom.A
( 別名:Mimail.R, Novarg, Shimgapi または Shimg )
公開日:2004年01月27日
このウイルスに関する危険度 :■■■■□
対応定義ファイル 定義ファイルバージョン1.609 (20040127) 以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 感染が拡大している
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


■ Win32/Mydoom.A

Win32/Mydoom.A (別名:Mimail.R, Novarg, Shimgapi または Shimg)は、電子メールの添付ファイルまたはKazaaファイル共有ネットワークで拡散するワームです。差出アドレスは偽装されています。添付ファイル名、メールの題名、およびメールの本文は様々なものがあります。UPXユーティリティで圧縮されたワームのサイズは、22,528バイトです。このワームは、感染したコンピュータからメールアドレスを取得して拡散します。

添付ファイル名は、以下のいずれかであるかランダムであり、その拡張子は、pif, .scr, .exe, .cmd, .bat, .zip のいずれかです。

document
readme
doc
text
file
data
test
message
body


[注意]
.zip ファイルの中にワームが含まれることもあり、メールソフトや解凍ツールでは .htm, .txt, .doc というファイルが圧縮されているように見えても、実際にはさらに拡張子が付いており、それらを解凍して実行してしまうと、感染してしまうこともあるので、注意が必要です。

例えば、 " readme.txt                .pif "

のように長い空白を含むファイル名をもつファイルが.zipに圧縮されている場合、メールソフトや解凍ツールでは一見すると、readme.txt が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認して、不用意に実行しないようにしなければなりません。


メールの題名は次のいずれかになります。メールの本文にも含まれることがあります。

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

メールの本文には次の4つのテキストのいずれかが含まれています。

test

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Mail transaction failed. Partialmessage is available.


このワームが実行されると、以下のように活動します。

このワームは次のレジストリに自分自身を登録します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)
また、このワームはWindowsのメモ帳プログラム(notepad.exe)を起動して、ランダムなテキストを表示させます。

このワームは、Windowsのシステムディレクトリに、shimgapi.dll(サイズは4,096バイト)を作成して、LoadLibrary関数を使ってメインメモリにロードされるようにします。この shimgapi.dll ファイルは、ポート3127番を開くバックドア(裏口)を仕掛けて、次のレジストリキーに自分自身を登録します。

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32

このキーは、Webcheck.dll(Webサイトモニタリングのために使用されるCOMインターフェース)へのポインタとしてデフォルトで使われるものです。これにより、このワームは、 shimgapi.dll が explorer.exe のアドレス空間にロードされるようにします。

このワームは、感染したコンピュータのシステム日時が2004年02月12日02時28分57秒以降であるとき、活動を停止します。それ以外のとき、このワームは、Windowsのシステムディレクトリに、taskmon.exe というファイルとして自分自身のコピーを作成し、次のレジストリキーに値を追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

または

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

追加される値は、

"TaskMon" = %SysDir%\taskmon.exe

です。これによって、システムの再起動時にワームが活動を開始します。

このワームは、感染したコンピュータのシステム日時が2004年02月01日16時09分18秒以降であるとき、www.sco.com へのサービス拒否(DoS: Denial of Service)攻撃を行います。

感染したコンピュータに、Kazaa(peer-to-peerクライアント)がインストールされている場合、このワームはKazaaの共有ディレクトリに自分自身を次の名前のいずれかのファイル名でコピーします。このファイルの拡張子は、.bat, .exe, .scr, .pif のいずれかです。

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004


このワームは、感染を広げるために、次の拡張子をもつファイルからメールアドレスを取得して拡散します。

.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab


NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.609にて対応しています。



■Win32/Mydoom.A 駆除ツール

本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール mdaclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに
保存してください。(例"c:\download")
2. mdaclean.exe を実行してください。
3.

ディスクスキャンの実施

ディスクスキャンの実施
駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。

【注意】下記が出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

警告メッセージ

ディスクスキャン

4. ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。

確認ダイアログ
 
以上で作業が完了しました。 [ OK ] ボタンを押してください。

ディスクスキャン
5. Windowsを再起動してください。以上で完了です。
このページのトップへ

(C)Canon IT Solutions Inc.