Internet Watch logo
記事検索
最新ニュース

偽のライセンス認証画面を表示し、カード情報を盗むウイルス「MIMAIL.S」


 日本ネットワークアソシエイツ(NAC)、シマンテック、トレンドマイクロなどセキュリティベンダー各社は、クレジットカード情報を盗むウイルス「MIMAIL.S」を危険度が高いとして警告した。NACでは危険度を“中”、シマンテックではダメージを“中”、感染力を“高”としている。影響を受けるOSは、Windows XP/2000/Me/98/95/NT。

 MIMAIL.Sは、マイクロソフトのライセンス認証画面「Windows Expiration Notification」を偽装して、クレジットカード情報を盗もうとするウイルス。詐取したカード情報を、ウイルス本体内の「mail15.com」と「ziplip.com」というドメイン名のメールアドレスに送信する。盗まれたカード情報は、「C:\xx」形式の名前が付いたファイルに一時的に保存される。

 MIMAIL.Sは、メール添付で送信されてくる。メールの件名や添付ファイル名は複数候補を組み合わせるため可変だが、添付ファイルの拡張子は、「.exe」「.pif」「.scr」の3種類。ファイル容量は11,520バイトとなっている。感染メールの件名や添付ファイル、本文などの例は以下の通り。

・件名:here is the file you asked for
・本文:Hi! Here is the file you asked for!
・添付ファイル:document.txt.scr

 感染すると、Windowsフォルダに「rabbit.exe」というファイルを作成し、レジストリを改変。その後、「C:\」や「C:\Program Files\」「Application Data Folder」などのフォルダ内のファイルからメールアドレスを抽出し、独自のSMTPを利用してMIMAIL.S自身コピーを送信する。また、Webサイト「www.google.com」に定期的にIPアドレスを問い合わせることで、ネットワークの状態も確認するという。

 万が一感染の疑いがある場合は、ウイルス対策プログラムで検索し、「W32.Mimail.S@mm」(シマンテック)や「WORM_MIMAIL.S」(トレンドマイクロ)として検出したプログラムを削除し、レジストリを修正しなければならない。


“Windows Expiration Notification”を偽装した認証画面

関連情報

URL
  W32/Mimail.s@MM(日本ネットワークアソシエイツ)
  http://www.nai.com/japan/security/virM.asp?v=W32/Mimail.s@MM
  W32.Mimail.S@mm(シマンテック)
  http://www.symantec.com/region/jp/sarcj/data/w/w32.mimail.s@mm.html
  WORM_MIMAIL.S(トレンドマイクロ)
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.S&VSect=T

クレジットカード情報を盗む「Mimail」ウイルスの亜種(2003/11/17)


( 鷹木 創 )
2004/01/30 13:46

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.