キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/MyTob.S
公開日:2005年04月11日
このウイルスに関する危険度 :■■■□□

ウイルス名Win32/MyTob.S
対応定義ファイル 1.1045 (20050404) 以降
ウイルスの対処方法検出ファイルを削除してください
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中

Win32/MyTob.S は、電子メールの添付ファイルで拡散するワームです。添付ファイルは解凍を防止する為、YodaCryptによってプロテクトされています。そのサイズはおよそ60,000バイトです。

※以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"を %system% と表記しています。

このワームが実行されると、自分自身のコピーを%system% ディレクトに"msnmsgs.exe"というファイル名で作成します。また、"hellmsn.exe"という名前のコンポーネントをルートディレクトリに作成します。そのサイズは8,192バイトです。この作成されたコンポーネントは、NOD32アンチウイルスでは"Win32/MyTob.P"として検出されます。(Win32/MyTob.P は、MSNメッセンジャーを介して拡散します。)

Win32/MyTob.S は、自分自身のコピーをルートディレクトリに次のファイル名で作成します。

"FUNNY PIC.SCR"
"PHOTO ALBUM.SCR"
"ENIMEM VS 2PAC.SCR"

また、作成したファイルに、"読み取り専用"および"隠しファイル"の属性を与えます。

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MSN MESSENGER" = "msnmsgs.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"MSN MESSENGER" = "msnmsgs.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MSN MESSENGER" = "msnmsgs.exe"

また、次のレジストリキーを追加します。

HKLM\Software\Microsoft\OLE
"MSN MESSENGER" = "msnmsgs.exe"

HKCU\Software\Microsoft\OLE
"MSN MESSENGER" = "msnmsgs.exe"

HKLM\System\CurrentControlSet\Control\Lsa
"MSN MESSENGER" = "msnmsgs.exe"

HKCU\System\CurrentControlSet\Control\Lsa
"MSN MESSENGER" = "msnmsgs.exe"

このワームは、これらのレジストリキーを監視して、存在しない場合は再作成します。

このワームは、感染したコンピュータのローカルドライブを検索し、次の拡張子を持つファイルから、メールアドレスを取得します。

wab, adb, tbb, dbx, asp, php, sht, htm, pl

ただし、実際のワームの動作は、上記の拡張子のリストのうち、少なくとも1つの文字が含まれているファイルを発見した場合、そのファイル内部を検索し、メールアドレスを収集します。例えば、拡張子に htm、ht、h を含むファイル内部を検索します。

さらにこのワームは、Windowsのアドレス帳と次のフォルダから、メールアドレスを収集します。

%Windir%\Temporary Internet Files
%Userprofile%\Local Settings\Temporary Internet Files
%System%

このワームは、自分自身の送信先のドメインに対して、適切なメールサーバを検出する為に、DNSに解決を要求します。このDNS要求が失敗した場合、送信先のメールサーバを推測する為に、ドメイン名の前に次の接頭語を付加して、送信先を決めています。

gate.
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.

このワームは、収集したアドレスのドメイン名に次のいずれかの名前をランダムに付加して、メールアドレスを作成します。

adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, britney,
bush, claudia, dan, dave, david, debby, fred, george, helen, jack, james,
jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, lolita,
madmax, maria, mary, matt, michael, mike, peter, ray, robert, sam,
sandra, serg, smith, stan, steve, ted, tom

そして、次のドメイン名をランダムに付加します。

aol.com cia.gov fbi.gov hotmail.com juno.com msn.com yahoo.com

メールの送信には、独自のSMTPエンジンを使用します。このワームが送信するメールの題名は、次のいずれかがランダムに選択されます。

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
Read it immediately
hello
Good day
Thanks!

このワームが送信するメールの本文には、次のいずれかのテキストが含まれます。
本文は、空白の場合や、無作為な文字列を含む場合もあります。

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents.

このワームは、自分自身のコピーに、次のいずれかのファイル名を付けます。

body
message
test
data
file
text
doc
readme
document

このファイルの拡張子は、次のいずれかです。

bat
cmd
exe
scr
pif
zip

また、自分自身をZIP形式で添付する場合があります。圧縮されたファイルの拡張子は二重拡張子になっており、第一拡張子は次のいずれかです。

htm
txt
doc

第二拡張子は次のいずれかであり、第一拡張子は多数のスペースで隔たれています。

pif
scr
exe

例えば、"text.zip"は、"text.txt[多数のスペース].src"というファイルを含みます。

注意:
このように多数のスペースを含むファイル名をもつファイルが、ZIPで圧縮されている場合、メールソフトや解凍ツールでは一見すると、"text.txt"が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認し、不用意に実行しないようにしなければなりません。

このワームは、以下の文字列を含むメールアドレスには、送信しません。

.gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal:, berkeley,
borlan, bsd, bugs, certific, contact, example, fcnz, feste, fido, foo., fsf., gnu, gold-certs,
google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o,
isi.e, kernel, linux, listserv, math, mit.e, mozilla, msn., mydomai, nobody, nodomai,
noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe.,
root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho,
spm, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster,
www, you, your, -._!, -._!@


このワームは、これらのサイトにアクセスするのを避ける為、次のデータで現在のホストファイルを上書きします。

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

このワームは、MS04-011(LSASSバッファオーバーフローの脆弱性)を利用して、ランダムに生成されたIPアドレスの445番ポートへ接続を試みます。

また、MS03-026(RPCバッファオーバーランの脆弱性)も利用します。

※各脆弱性に関するマイクロソフト社の説明は、こちらをご参照ください。

MS03-026
http://support.microsoft.com/kb/823980

MS04-011
http://support.microsoft.com/kb/835732

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1045 にて対応しています。

このページのトップへ

(C)Canon IT Solutions Inc.