キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/MyTob.T
公開日:2005年04月11日
このウイルスに関する危険度 :■■■□□

ウイルス名Win32/MyTob.T
対応定義ファイル 1.1046 (20050404) 以降
ウイルスの対処方法検出ファイルを削除してください
ウイルス駆除ツール 公開中 [ 駆除ツールについてはこちら ]
ウイルスに関する危険度 - 感染報告あり
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中

Win32/MyTob.T は、電子メールの添付ファイルで拡散するワームです。
添付ファイルはUPackで圧縮された実行形式で、そのサイズは51,062バイトです。

※以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"を %system% と表記しています。

このワームが実行されると、自分自身のコピーを%system% ディレクトリ"taskgmr.exe"というファイル名で作成します。また、"nethell.exe"という名前のコンポーネントをルートディレクトリに作成します。この作成されたコンポーネントは、NOD32アンチウイルスでは"Win32/MyTob.J"として検出されます。(Win32/MyTob.F は、MSNメッセンジャーを介して拡散します。)

Win32/MyTob.T は、ルートディレクトリに自分自身のコピーを次のファイル名で作成します。

"funny_pic.scr"
"my_photo2005.scr"
"see_this!!.scr"

このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。)

このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"WINTASK" = "taskgmr.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"WINTASK" = "taskgmr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"WINTASK" = "taskgmr.exe"

また、次のレジストリキーを追加します。

HKLM\Software\Microsoft\OLE
"WINTASK" = "taskgmr.exe"

HKCU\Software\Microsoft\OLE
"WINTASK" = "taskgmr.exe"

HKLM\System\CurrentControlSet\Control\Lsa
"WINTASK" = "taskgmr.exe"

HKCU\System\CurrentControlSet\Control\Lsa
"WINTASK" = "taskgmr.exe"

このワームは、これらのレジストリキーを監視して、存在しない場合は再作成します。

このワームは、感染したコンピュータのローカルドライブを検索し、次の拡張子を持つファイルから、メールアドレスを取得します。

wab, adb, tbb, dbx, asp, php, sht, htm, pl

ただし、実際のワームの動作は、上記の拡張子のリストのうち、少なくとも1つの文字が含まれているファイルを発見した場合、そのファイル内部を検索し、メールアドレスを収集します。例えば、拡張子に htm、ht、h を含むファイル内部を検索します。

このワームは、自分自身の送信先のドメインに対して、適切なメールサーバを検出する為に、DNSに解決を要求します。このDNS要求が失敗した場合、送信先のメールサーバを推測する為に、ドメイン名の前に次の接頭語を付加して、送信先を決めています。

gate.
mx.
mail.
smtp.
mx1.
mxs.
mail1.
relay.
ns.

このワームは、収集したアドレスのドメイン名に次のいずれかの名前をランダムに付加して、メールアドレスを作成します。

adam, alex, alice, andrew, anna, bill, bob, brenda, brent, brian, britney,
bush, claudia, dan, dave, david, debby, fred, george, helen, jack, james,
jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, lolita,
madmax, maria, mary, matt, michael, mike, peter, ray, robert, sam,
sandra, serg, smith, stan, steve, ted, tom

そして、次のドメイン名をランダムに付加します。

aol.com cia.gov fbi.gov hotmail.com juno.com msn.com yahoo.com

メールの送信には、独自のSMTPエンジンを使用します。このワームが送信するメールの題名は、次のいずれかがランダムに選択されます。

Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
Good day

このワームが送信するメールの本文には、次のいずれかのテキストが含まれます。
本文は、空白の場合や、無作為な文字列を含む場合もあります。

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents.

このワームは、自分自身のコピーに、次のいずれかのファイル名を付けます。

body
message
test
data
file
text
doc
readme
document

このファイルの拡張子は、次のいずれかです。

bat
cmd
exe
scr
pif
zip

また、自分自身をZIP形式で添付する場合があります。圧縮されたファイルの拡張子は二重拡張子になっており、第一拡張子は次のいずれかです。

htm
txt
doc

第二拡張子は次のいずれかであり、第一拡張子は多数のスペースで隔たれています。

pif
scr
exe

例えば、"text.zip"は、"text.txt[多数のスペース].src"というファイルを含みます。

注意:
このように多数のスペースを含むファイル名をもつファイルが、ZIPで圧縮されている場合、メールソフトや解凍ツールでは一見すると、"text.txt"が圧縮されているように見えることがあるので、そのまま解凍して実行することは危険です。必ず解凍後のファイルの拡張子も確認し、不用意に実行しないようにしなければなりません。

このワームは、以下の文字列を含むメールアドレスには、送信しません。

.gov, .mil, abuse, accoun, acketst, admin, anyone, arin., avp, be_loyal:, berkeley,
borlan, bsd, bugs, certific, contact, example, fcnz, feste, fido, foo., fsf., gnu, gold-certs,
google, gov., help, hotmail, iana, ibm.com, icrosof, icrosoft, ietf, info, inpris, isc.o,
isi.e, kernel, linux, listserv, math, mit.e, mozilla, msn., mydomai, nobody, nodomai,
noone, not, nothing, ntivi, page, panda, pgp, postmaster, privacy, rating, rfc-ed, ripe.,
root, ruslis, samples, secur, sendmail, service, site, soft, somebody, someone, sopho,
spm, submit, support, syma, tanford.e, the.bat, unix, usenet, utgers.ed, webmaster,
www, you, your, -._!, -._!@

このワームは、これらのサイトにアクセスするのを避ける為、次のデータで現在のホストファイルを上書きします。

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.trendmicro.com

このワームは、共有フォルダへアクセスを試みる際、次の文字列をユーザ名またはパスワードとして使用します。

(blank password)
!@#$ !@#$% !@#$%^ !@#$%^& !@#$%^&* % 0 00 000 0000 00000
000000 00000000 007 0wn3d 0wned 1 110 111 111 111111 11111111 11111111 12 121
121212 123 123123 123321 1234 12345 123456 1234567 12345678 123456789 12346
123467 1234678 12346789 123467890 1234qwer 123abc 123asd 123qwe 2002 2003 2600
54321 54321 54321 654321 654321 aaa abc abc123 abcd ACCESS access account
accounts adm admin ADMIN Admin admin123 Administrador Administrateur
administrator ADMINISTRATOR Administrator guest GUEST Guest pass pass123
pass1234 passphra passwd password PASSWORD Password password1 password123
unknown Unknown user USER User user1 usermane username userpassword win
win2000 win2k win98 windose windows windows2k windows95 windows98 windowsME
WindowsXP windowz windoze windoze2k windoze95 windoze98 windozeME windozexp
wine wing winnt winpass winston winxp wired xp xx xxx xxxx xxxxx xxxxxx xxxxxxx
xxxxxxxx xxxxxxxxx 007 test none changeme default system server null qwerty mail
outlook web www internet accounts accounting home homeuser user user1 oem oemuser
qaz asd qwe mike john peter luke ron sam barbara mary sue susan joan joe peter fred
frank brian spencer lee neil ian george bruce kate katie login loginpass owa sage
technical backup exchange exchnge fuck sex god hell fish heaven orange domain
domainpass domainpassword database access dbpass dbpassword databasepass data
databasepassword db1 db1234 sql sqlpass sa cisco dell compaq siemens yellow pink
xp control mass office blank winpass capitol userpassword main hq headoffice ctx
nokia lan internet intranet bill fred freddy
glen turnip afro user1 student student1 teacher staff oeminstall root Root ROOT CISCO Cisco

共有フォルダへのアクセスに成功した場合、次の1つのフォルダのコピー作成を試みます。

Admin$\system32\taskgmr.exe
Admin$\taskgmr.exe
ipc$\system32\taskgmr.exe
ipc$\taskgmr.exe
print$\system32\taskgmr.exe
print$\taskgmr.exe
c$\winnt\system32\taskgmr.exe
c$\taskgmr.exe
d$\taskgmr.exe
lwc$\taskgmr.exe
NETLOGON\taskgmr.exe
SYSVOL\taskgmr.exe
profiles$\taskgmr.exe
e$\taskgmr.exe

このワームは、MS04-011(LSASSバッファオーバーフローの脆弱性)を利用して、ランダムに生成されたIPアドレスの445番ポートへ接続を試みます。

また、MS03-026(RPCバッファオーバーランの脆弱性)も利用します。

※各脆弱性に関するマイクロソフト社の説明は、こちらをご参照ください。

MS03-026
http://support.microsoft.com/kb/823980

MS04-011
http://support.microsoft.com/kb/835732

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1046 にて対応しています。

このページのトップへ

(C)Canon IT Solutions Inc.