■Win32/Mydoom.F
Win32/Mydoom.F は、Mydoomワームの亜種であり、電子メールの添付ファイルで拡散するワームです。
すべてのWindowsプラットフォーム上で動作し、圧縮されたワームのサイズは、34,568バイトです。
このワームは、www.microsoft.com
および www.riaa.com へのサービス拒否(DoS: Denial of Service)攻撃を行います。
差出アドレスは偽装されています。添付ファイル名、メールの題名、およびメールの本文は様々なものがあります。
このワームは、Windowsのシステムディレクトリに、ランダムなファイル名で自分自身のコピーを作成し、
次のレジストリキーに値を追加します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
または
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
追加される値は、
<コピーされたファイル名> = %SysDir%\<コピーされたファイル名>.exe
です。これによって、システムの再起動時にワームが活動を開始します。
メールの題名は次のいずれかになります。
test
hi
hello
Returned Mail
Confirmation Required
Confirmation
Registration confirmation
please reply
please read
Read this message
Readme
Important
Your account has expired
Expired account
Notification
automatic responder
automatic notification
You have 1 day left
Warning
Information
For Your Information
For you
Something for you
Read it immediately
Read this
Read it immediately!
Your credit card
Schedule
Accident
Attention
stolen
news
recent news
Wanted
fake
unknown
bug
forget
read now!
Current Status
Your request is being processed
Your order is being processed
Your request was registered
Your order was registered
King: < censored >
Undeliverable message
Love is...
Love is
Your account is about to be expired
Your IP was logged
You use illegal Sharing Rows...
Thank You very very much
hi, it' s me
Approved
King: Approved
Details
King: Details
Thank you
King: Thank you
Announcement
メールの本文には次のテキストのいずれかが含まれています。
test
You to are bad
Take it
Reply
Please, reply
Information about you
Greetings
See you
Here it is
We have received this document from your email.
Kill the writer of this document!
Something about you
The have your password:)
You to are to bad writer
Is that yours?
Is that from you?
The wait for your reply.
Here is the document.
Read the details.
I' m waiting
Okay
Everything ok?
Check the attached document.
The document was sent in compressed format.
Please see the attached rows for details
See the attached rows for details
Details to are in the attached document. You need Microsoft
Office to open it.
添付ファイル名は、以下のいずれかになります。
msg
doc
document
readme
text
rows
date
test
message
body
details
creditcard
attachment
stuff
me
post
posting
textfile
info
information
notes
notes
product
bill
check
ps
money
about
story
mail
list
joke
jokes
friend
situated
website
object
mail2
part1
part4
part2
part3
misc
disc
paypal
approved
details
your_document
image
resume
photo
添付ファイルの拡張子は、以下のいずれかになります。
exe
scr
com
pif
bat
cmd
このワームは、すべての論理ドライブ(AドライブからZドライブ)から以下の拡張子を持つファイルを検索して、電子メールアドレスを取得します。
txt
htm
sht
php
asp
dbx
tbb
adb
eml
pl
msg
vbs
mht
oft
uin
rtf
ods
mmf
nch
mbx
wab
mdb
Win32/Mydoom.F は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.629にて対応しています。