Internet Watch logo
記事検索
最新ニュース

件名「hi」や「test」などの新種ウイルス「Mydoom」に注意

〜ノートパッドに意味不明な文字が現われたら感染の疑いが高い

編集部にもこれだけ大量の「Mydoom」が来ているため、注意が必要だろう
 NACやシマンテック、トレンドマイクロなどのウイルス対策ベンダー各社は、大量メール送信型のウイルス「Mydoom」を危険度が高いとして警告した。NACでは危険度“高(要警戒)”としている。件名が「hi」や「hello」、添付ファイルの拡張子がZIPやEXE、PIFなどとなっている点が特徴だ。

 Mydoomはトロイの木馬型ウイルスで、Windowsシステムのプロセスに常駐し、自分を添付したメールを送信するワーム活動を行なうほか、ファイル交換ソフト「Kazaa」経由での感染やバックドア機能も備えている。ただし、ウイルス対策ベンダーによって呼称が異なるため注意が必要だ。27日現在、NACでは「W32/Mydoom@MM」、シマンテックは「W32.Novarg.A@mm」、トレンドマイクロは「WORM_MIMAIL.R」となっているが、中身は同じウイルスだ。

 Mydoomに感染すると、まずノートパッドが開かれて意味不明な文字で埋まる。その後、Windowsのシステムフォルダに「shimgapi.dll」や「taskmon.exe」などのファイルを作成し、レジストリを改変する。これにより、PC起動時には常にウイルスが起動するようになる。

 その後、HTMファイルやTXTファイルなどから送信先メールアドレスを抽出し、以下の内容のメールを送信する。

件名:以下の8種類の中からランダムで選択
・test
・hi
・hello
・Mail Delivery System
・Mail Transaction Failed
・Server Report
・Status
・Error

本文:以下の3種類の中からランダムで選択
・Mail transaction failed. Partial message is available.
・The message contains Unicode characters and has been sent as a binary attachment.
・The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

添付ファイル名: <ランダムなファイル名>.ZIP、もしくは拡張子がpif、scr、exe、cmd、bat、zipのファイル

 また送信時には送信者アドレスを詐称するため、注意が必要だ。

 万が一感染してしまった場合には、ウイルス対策ソフトの定義ファイルを最新版にアップデートしたのちに「W32/Mydoom@MM」「W32.Novarg.A@mm」「WORM_MIMAIL.R」などとして検出したファイルをすべて削除し、レジストリを修正しなければならない。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。


「Mydoom」の例。この場合は添付ファイルの拡張子がZIPではなく、ウイルス本体が拡張子PIFで添付されている 感染すると表示されるメモパッドの一例。このようなものが表示されたら、感染した可能性が高いため、ウイルスチェックをした方が良いだろう

関連情報

URL
  W32/Mydoom@MM
  http://www.nai.com/japan/security/virM.asp?v=W32/Mydoom@MM
  W32.Novarg.A@mm
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.novarg.a@mm.html
  WORM_MIMAIL.R
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R


( 大津 心 )
2004/01/27 12:15

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.