Win32/Mydoom.T は、電子メールの添付ファイルで拡散するワームです。このワームのサイズは27,136バイトであり、UPXユーティリティによって圧縮されています。

このワームが実行されると、このワームは自分自身を %windir%\rasor38a.dll および%system%\winpsd.exe としてコピーします。その後、このワームは次のいずれかのレジストリに "winpsd" キーを作成します。

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

これらのキーの値には、コピーされたワームの実行ファイルである winpsd.exe
へのパスが格納されています。

このワームは、さらに次のレジストリキーも作成します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\

このワームは、自分自身のコピーを電子メールに添付して送信します。このワームは、感染したコンピュータにおいて、メールを送信するときに使われるSMTPサーバーを検出するために、Windowsやインターネットの設定を読み出すことができます。メールアドレスは、感染したコンピュータにおいて、次の拡張子を持つファイルから取得します。

adb
asp
dbx
htm
php
pl
sht
tbb
txt
wab

このワームは、メールアドレスに関する多数の文字列のリストを持っており、取得したメールアドレスと組み合わせて、送信先のメールアドレスを作成します。ただし、作成したメールアドレスのうち、いくつかの文字列を含むものには、自分自身を送信しません。

このワームが送信するメールの差出人は、このワームによって詐称されています。メールの題名は "photos"、本文は "LOL!;))))"、添付ファイル名は "photos_arc.exe"となっています。

このワームは、4つのURLからファイルのダウンロードを試みます。ファイルがダウンロードされ実行された後、再度ダウンロードを試みることを避けるため、次のレジストリに値を登録します。

HKCU\SOFTWARE\Microsoft\Internet Explorer\InstaledFlashhMX

ダウンロードされたコンポーネントは、dx32hhlp.exe として保存され、さらに dx32hhec.sys を作成します。また、dx32hhec または "devsec" という名前のエントリーを次のレジストリに登録します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

このキーの値は、OSのバージョンに依存しますが、いずれの場合でもこのワームによってダウンロードされたファイルがOS起動時に毎回実行されるようになります。

このコンポーネントは、IRCネットワークにバックドアを仕掛けて、プロキシとして機能することができます。また、このコンポーネントは感染したコンピュータから特定のアンチウイルス法人のサイトへのアクセスをブロックするために、%system%\Drivers\Etc\Hosts を修正します。

Win32/Mydoom.T は、NOD32アンチウイルスのアドバンスドヒューリスティック機能によって検出されるワームの一つです。これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。アドバンスドヒューリスティック機能で検出された場合、ウイルス名は NewHeur_PE と
表示されます。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.844にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。