Win32/Mytob.BV は、電子メールの添付ファイルで拡散するワームです。
添付ファイルはMorphineによって圧縮されており、そのサイズは35,840バイトです。※参考
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"を%system% と表記しています。 このワームが実行されると、自分自身のコピーを%system%ディレクトリに"shell.exe"というファイル名で作成します。 このワームは、自分自身の唯一のコピーだけが感染したコンピュータ上で実行されるようにします。(Mutexという仕組みで、自分自身が二重起動されないようにします。) このワームは、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Windows Shell" = "shell.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"Windows Shell" = "taskgmr.exe" このワームは、感染したコンピュータのローカルドライブを検索し、次の拡張子を持つファイルから、メールアドレスを取得します。 wab, adb, tbb, dbx, asp, php, sht, htm, txt このワームは、以下の文字列を含むメールアドレスには送信しません。 abuse, accoun, admin, anyone, bsd, bugs, certific, contact, fcnz, feste,
gold-certs, google, help, icrosof, info, linux, listserv, nobody, noone, not, nothing, ntivi,
page, postmaster, privacy, rating, root, samples, secur, service, site, soft, somebody, someone,
spm, submit, support, the.bat, unix, webmaster, www, you, your このワームは、以下の文字列を含むドメイン名には送信しません。 .gov, .mil, acketst, arin., berkeley, borlan, bsd, example, fido, foo.,
fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, icrosoft, ietf, inpris, isc.o, isi.e,
kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis,
secur, sendmail, sopho, tanford.e, unix, usenet, utgers.ed このワームは、収集したメールアドレスに以下のいずれかの文字列を付加して、
メールアドレスを作成します。 .john, alex, michael, james, mike, kevin, david, george, sam, andrew, jose, leo,
maria, jim, brian, serg, mary, ray, tom, peter, robert, bob, jane, joe, dan, dave,
matt, steve, smith, stan, bill, bob, jack, fred, ted, adam, brent, alice, anna,
brenda, claudia, debby, helen, jerry, jimmy, julie, linda, kroutoyy このワームが送信するメールの題名は、次のいずれかがランダムに選択されます。 Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents. 本文は、空白の場合や無作為な文字列を含みます。
このワームは、自分自身のコピーに、次のいずれかのファイル名を付けます。 file
text
doc
creditcard このワームは、hosts ファイルに次のテキストを追加し、これらのサイトへの接続を遮断します。 127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン 1.1088 にて対応しています。
|
