|
|
|
最新ウイルス定義ファイルバージョン
:
12381 (2015/10/09 17:02)
|
最新ウイルス情報 : Win32/Mydoom.A
( 別名:Mimail.R, Novarg, Shimgapi または
Shimg )
|
|
対応定義ファイル |
定義ファイルバージョン1.609 (20040127)
以降で対応済みです。 |
ウイルスの対処方法 |
検出ファイルを削除してください |
ウイルスに関する危険度 |
4 -
感染が拡大している |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■ Win32/Mydoom.A
Win32/Mydoom.A (別名:Mimail.R, Novarg, Shimgapi または Shimg)は、電子メールの添付ファイルまたはKazaaファイル共有ネットワークで拡散するワームです。差出アドレスは偽装されています。添付ファイル名、メールの題名、およびメールの本文は様々なものがあります。UPXユーティリティで圧縮されたワームのサイズは、22,528バイトです。このワームは、感染したコンピュータからメールアドレスを取得して拡散します。
添付ファイル名は、以下のいずれかであるかランダムであり、その拡張子は、pif, .scr, .exe, .cmd,
.bat, .zip のいずれかです。
document
readme
doc
text
file
data
test
message
body
[注意]
.zip ファイルの中にワームが含まれることもあり、メールソフトや解凍ツールでは
.htm, .txt, .doc というファイルが圧縮されているように見えても、実際にはさらに拡張子が付いており、それらを解凍して実行してしまうと、感染してしまうこともあるので、注意が必要です。
例えば、 " readme.txt .pif "
のように長い空白を含むファイル名をもつファイルが.zipに圧縮されている場合、メールソフトや解凍ツールでは一見すると、readme.txt
が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認して、不用意に実行しないようにしなければなりません。
メールの題名は次のいずれかになります。メールの本文にも含まれることがあります。
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
メールの本文には次の4つのテキストのいずれかが含まれています。
test
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.
The message contains Unicode characters and has been sent
as a binary attachment.
Mail transaction failed. Partialmessage is available.
このワームが実行されると、以下のように活動します。
このワームは次のレジストリに自分自身を登録します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。)
また、このワームはWindowsのメモ帳プログラム(notepad.exe)を起動して、ランダムなテキストを表示させます。
このワームは、Windowsのシステムディレクトリに、shimgapi.dll(サイズは4,096バイト)を作成して、LoadLibrary関数を使ってメインメモリにロードされるようにします。この
shimgapi.dll ファイルは、ポート3127番を開くバックドア(裏口)を仕掛けて、次のレジストリキーに自分自身を登録します。
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
このキーは、Webcheck.dll(Webサイトモニタリングのために使用されるCOMインターフェース)へのポインタとしてデフォルトで使われるものです。これにより、このワームは、
shimgapi.dll が explorer.exe のアドレス空間にロードされるようにします。
このワームは、感染したコンピュータのシステム日時が2004年02月12日02時28分57秒以降であるとき、活動を停止します。それ以外のとき、このワームは、Windowsのシステムディレクトリに、taskmon.exe
というファイルとして自分自身のコピーを作成し、次のレジストリキーに値を追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
または
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
追加される値は、
"TaskMon" = %SysDir%\taskmon.exe
です。これによって、システムの再起動時にワームが活動を開始します。
このワームは、感染したコンピュータのシステム日時が2004年02月01日16時09分18秒以降であるとき、www.sco.com
へのサービス拒否(DoS: Denial of Service)攻撃を行います。
感染したコンピュータに、Kazaa(peer-to-peerクライアント)がインストールされている場合、このワームはKazaaの共有ディレクトリに自分自身を次の名前のいずれかのファイル名でコピーします。このファイルの拡張子は、.bat,
.exe, .scr, .pif のいずれかです。
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
このワームは、感染を広げるために、次の拡張子をもつファイルからメールアドレスを取得して拡散します。
.txt
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.609にて対応しています。
■Win32/Mydoom.A 駆除ツール
本クリーナプログラムは、ESET社がフリーで提供している駆除支援ツールです。
ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。
|
|
|
|