ウイルス名 |
Win32.HLLM.MyDoom.17
|
発見日 |
2005/02/17
|
| 対応日 |
2005/02/17 05:46:08
|
| 種 類 |
ワーム |
| 別 名 |
W32.Mydoom.AX@mm, WORM_MYDOOM.BB |
| 対 象 |
Windows
95/98/Me/NT/2000/XP |
| 危険度 |
高 |
| 感染経路 |
電子メール, ネットワーク共有フォルダ |
| 概 要 |
Win32.HLLM.MyDoom.17は感染したコンピュータで、収集したメールアドレスにワームのコピーを添付したメールを送信し感染拡大を試みます。
また、ネットワーク共有フォルダを利用して感染します。
|
| 詳 細 |
当ワームは感染したコンピュータのWindowsフォルダに次のようなファイルを作成します。
java.exe
services.exe
* Windowsフォルダは標準では、
C:\Windows (Windows 95/98/Me/XP)または
C:\Winnt (Windows NT/2000)です。
Windows起動時に自動的にワームが実行されるように、次のようにレジストリを書き換えます。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
JavaVM = Windowsフォルダ\java.exe
Services = Windowsフォルダ\services.exe
* Windowsフォルダは標準では、
C:\Windows (Windows 95/98/Me/XP)または
C:\Winnt (Windows NT/2000)です。
また、次のようなレジストリを書き換えます。
HKEY_CURRENT_USER\Software\Microsoft
Daemon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
Daemon
感染したコンピュータで次のような拡張子を持つファイルからメールアドレスを収集します。
.doc
.htm
.html
.txt
当ワームは次のような検索エンジンにGETリクエストをして、メールアドレスを収集しようと試みます。
search.yahoo.com
search.lycos.com
www.altavista.com
www.google.com
次のような文字列を含むメールアドレスには送信しません。
abuse
accoun
admin
anyone
arin.
avp
avp
bar.
bugs
ca
certific
domain
example
feste
foo
foo.com
gmail
gnu.
gold-certs
google
help
hotmail
info
listserv
master
me
microsoft
msdn.
msn.
no
nobody
noone
not
nothing
ntivi
page
panda
privacy
rarsoft
rating
ripe.
sample
sarc.
seclist
secur
sf.net
site
soft
someone
sophos
sophos
sourceforge
spam
spersk
submit
support
the.bat
trend
update
uslis
winrar
winzip
yahoo
you
your
感染したコンピュータにある次のような文字列を含むフォルダにワームのコピーを作成します。
userprofile
yahoo.com
当ワームは独自のSMTPエンジンを利用して感染したコンピュータで収集したメールアドレスに当ワームのコピーを添付した次のようなメールを送信します。
差出人:次のような文字列にランダムなドメインが追加されます
Postmaster
Mail Administrator
Automatic Email Delivery Software
Post Office
The Post Office
Bounced mail
Returned mail
MAILER-DAEMON
Mail Delivery Subsystem
件名:次の中からランダムに選択されます
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error delivered
本文:次の中からランダムに選択されます
Dear User of [宛先のドメイン]
We have received reports that your account was used to send a large amount of junk email messages during the week.
Probably, your computer had been compromised and now contains a hidden proxy server.
Please follow the instruction in the attached file in order to keep your computer safe.
Have a nice day,
[宛先のドメイン] user support team.
添付ファイル名:宛先か、次の中からランダムに選択されます
ATTACHMENT
DOCUMENT
FILE
INSTRUCTION
LETTER
MAIL
MESSAGE
README
TEXT
TRANSCRIPT
添付ファイルの拡張子:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
また、次のURLから悪性のファイルをダウンロードします。
www.aoprojecteden.org
|
| 駆除方法 |
ウイルスチェイサーでの検出及び駆除が可能です。
ウイルスチェイサーのアップデートを実行し、ウイルスチェイサーを最新の状態へアップデートして下さい。
メモリ&ブートセクタ検査を実行しワームが検出されましたら駆除して下さい。
すべてのファイルに対しウイルス検査を実行し、ワームとして検出されたファイルをすべて削除して下さい。
ワームによって書き換えられたレジストリを修正して下さい。
レジストリエディタは、画面左下にある「スタート」ボタンをクリックし、「ファイル名を指定して実行」を選択し
表示された画面に"regedit"と入力後、「OK」をクリックしますと起動します。
|
| 参 照 |
当ワームはWin32.HLLM.MyDoom.32768、Win32.HLLM.MyDoom.48128、Win32.HLLM.MyDoom.43008、Win32.HLLW.HLLW.MyDoom.6656、Win32.HLLM.MyDoom.54464、Win32.HLLM.MyDoom.4、Win32.HLLM.MyDoom.5、Win32.HLLM.MyDoom.6の亜種です。
|
