Win32/MyTob.D は、電子メールの添付ファイルで拡散するワームです。添付ファイルは、UPXで圧縮されており、解凍を防止する為YodaCryptによってプロテクトされています。そのサイズは48,766バイトです。※以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"を %system% と表記しています。 このワームが実行されると、自分自身のコピーを%system% ディレクトリ"wfdmgr.exe"というファイル名で作成します。 このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。
(Mutexという仕組みで、自分自身が二重起動されないようにします。) このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"LSA" = "wfdmgr.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"LSA" = "wfdmgr.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"LSA" = "wfdmgr.exe" また、次のレジストリキーを追加します。 HKLM\Software\Microsoft\OLE
"LSA" = "wfdmgr.exe" HKCU\Software\Microsoft\OLE
"LSA" = "wfdmgr.exe" HKLM\System\CurrentControlSet\Control\Lsa
"LSA" = "wfdmgr.exe" HKCU\System\CurrentControlSet\Control\Lsa
"LSA" = "wfdmgr.exe" このワームは、感染したコンピュータのローカルドライブを検索し、次の拡張子を持つファイルから、メールアドレスを取得します。 wab
adb
tbb
dbx
asp
php
sht
htm
pl ただし、実際のワームの動作は、上記の拡張子のリストのうち、少なくとも1つの文字が含まれているファイルを発見した場合、そのファイル内部を検索し、メールアドレスを収集します。例えば、拡張子に htm、ht、h を含むファイル内部を検索します。 このワームは、自分自身の送信先のドメインに対して、適切なメールサーバを検出する為に、DNSに解決を要求します。このDNS要求が失敗した場合、送信先のメールサーバを推測する為に、ドメイン名の前に次の接頭語を付加して、送信先を決めています。 gate.
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns. このワームは、収集したアドレスのドメイン名に次のいずれかの名前をランダムに付加して、メールアドレスを作成します。 adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, claudia, dan, dave,
david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose,
julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam,
sandra, serg, smith, stan, steve, ted, tom メールの送信には、独自のSMTPエンジンを使用します。 このワームが送信するメールの題名は、次のいずれかがランダムに選択されます。 Error
Status
STATUS
Server Report
SERVER REPORT
Mail Transaction Failed
Mail Delivery System
hello
HELLO
hi
HI
test
TEST このワームが送信するメールの本文には、次のいずれかのテキストが含まれます。
本文は、空白の場合や、無作為な文字列を含む場合もあります。 Mail transaction failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. test. このワームは、自分自身のコピーに、次のいずれかのファイル名を付けます。 body
message
test
data
file
text
doc
readme
document このファイルの拡張子は、次のいずれかです。 bat
cmd
exe
scr
pif
zip 自分自身をZIP形式で添付する場合があります。圧縮されたファイルの拡張子は二重拡張子になっており、第一拡張子は次のいずれかです。 htm
txt
doc 第二拡張子は次のいずれかであり、第一拡張子は多数のスペースで隔たれています。 pif
scr
exe 例えば、"text.zip"は、"text.txt[多数のスペース].src"というファイルを含みます。 注意:
このように多数のスペースを含むファイル名をもつファイルが、ZIPで圧縮されている場合、メールソフトや解凍ツールでは一見すると、"text.txt"が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認し、不用意に実行しないようにしなければなりません。 このワームは、以下の文字列を含むメールアドレスには、送信しません。 .gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal:, berkeley,
borlan, bsd, bugs, certific, contact, example, fcnz, feste, fido, foo., fsf., gnu, gold-certs,
google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o,
isi.e, kernel, linux, listserv, math, mit.e, mozilla, msn., mydomai, nobody, nodomai,
noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe.,
root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho,
spm, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster,
www, you, your, -._!, -._!@ このワームは、MS04-011(LSASSバッファオーバーフローの脆弱性)を利用して、ランダムに生成されたIPアドレスの445番ポートへ接続を試みます。 NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1015 にて対応しています。 |
