| 対応定義ファイル | Win32/Mydoom.R
定義ファイルバージョン 1.822 (20040726) 以降で対応済みです。 |
| ウイルスの対処方法 | 検出ファイルを削除してください |
| ウイルスに関する危険度 | 3 -
感染報告あり |
※ 1:注意 2 :感染可能性あり 3:感染報告あり 4:感染が拡大している 5:深刻な被害が拡大中
■Win32/Mydoom.R
NOD32アンチウイルスで Win32/Mydoom.R として検出するウイルスは、他社アンチウイルスソフトウェアでは Mydoom.M または Mydoom.O として検出することがあります。 Win32/Mydoom.R は、電子メールの添付ファイルで拡散するワームです。このワームはメール送信プログラムをもっており、送信するメールの送信元メールアドレスを偽装します。このワームは、PE実行ファイル形式であり、UPXユーティティティで圧縮されており、そのサイズは様々です。 このワームが実行されると、このワームは次のシステムレジストリにいくつかのキーを作成します。 HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
HKEY_CURRENT_USER\Software\Microsoft\Daemon このワームは、自分自身のコピーを次のファイル名で作成します。 %Windir%\java.exe
%Windir%\services.exe ここで、%Windir% は、Windowsフォルダを示します。 このワームは、次のレジストリキーを作成して、システムの再起動時に活動を
開始できるようにします。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"JavaVM" = "%Windir%\java.exe"
"Services" = "%Windir%\services.exe" このワームは次のファイルを作成します。これらのファイルには、このワームの活動の記録や拡散するためのプログラムのログが記録されています。 %Temp%\zincite.log
%Temp%\[ランダムな名前].log ここで、%Temp% は、Windowsのテンポラリフォルダを示します。 このワームは、電子メールを経由して感染を広めるために、すべてのローカルドライブを検索して、次の拡張子を持つファイルからメールアドレスを取得します。 .adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab さらに、このワームは、取得したメールアドレスについて、次の検索エンジンで検索を試みます。 search.lycos.com
search.yahoo.com
www.altavista.com
www.google.com このワームが送信するメールの題名は次のいずれかになります。 say helo to my litl friend
click me baby, one more time
hello
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error メールの本文には様々な種類があります。代表的には次の3種類があります。 本文1: Dear user of <server>,
Mail server admistration of <server> would like to inform you that:
We have reveived reports that your e-mail account was used to send a huge
amount of junk e-mail during the recent week.
Most likely, your computer was infected by a recent virus and now runs a
hidden proxy server. We recommend you to follow the instructions in the attached file in order
to keep your computer safe. Best wishes
<server> technical support team. 本文2: This message was not delivered due to the following reason: Your message was not delivered because the destination server was
unreachable within the allowed queue period. The amount of time a
message is queued before it is returned depends on local configura-
tion parameters. Most likely there is a network problem that prevented delivery, but it
is also possible that the computer is turned off, or does not have a mail
system running right now. Your message could not be delivered within <number> days:
Mail server <mailserver> is not responding. The followind recipients did not receive this message:
<recipients> Please reply to postmaster@<server>
if you feel this message to be in error. 本文3: The original message was received at <time> from <host>
----- The following addresses had permanent fatal errors ---
--
----- Transcript of session follows -----
... while talking to server <host>
>>> MAIL FROM:<address>
<<< 50<digit> Refused ここで、<server>, <address>, <digit>, <recipients> には、それぞれ適当な文字列に置き換えられます。 メールの添付ファイル名は、取得したメールアドレスからドメイン名などを利用して作成されます。さらに、次の文字列を組み合わせることもあります。 attachment
document
file
instruction
letter
mail
message
readme
text
transcript 添付ファイルの拡張子は、次のいずれかになります。 .bat
.cmd
.com
.exe
.pif
.scr
.zip さらに次の拡張子を付加した二重拡張子になることもあります。 .doc
.htm
.html
.txt このワームは、次の文字列を含むメールアドレスにはメールを送信しません。 abuse
accou
admin
anyone
arin.
avp
bar.
bugs
domain
example
feste
foo
foo.com
gmail
gnu.
gold-certs
google
help
hotmail
info
listserv
mailer-d
master
microsoft
msdn.
msn.
nobody
noone
not
nothing
ntivi
page
panda
privacycertific
rarsoft
rating
ripe.
sample
sarc.
seclist
secur
sf.net
site
soft
someone
sophos
sourceforge
spam
spersk
submit
support
syma
the.bat
trend
update
uslis
winrar
winzip
yahoo
you
your このワームは、感染したコンピュータにバックドアを仕掛けて、TCP1034番ポートを開きます。 Win32/Mydoom.R は、NOD32アンチウイルスの拡張ヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。 NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.822にて対応しています。 NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。 | 
