 |
 |
記事検索 |
最新ニュース |
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
米Symantec、修正パッチのインストールを騙る「Mydoom.AD」を警告 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
米Symantecは、メール添付型ウイルス「W32.Mydoom.AD@mm」(以下、Mydoom.AD)を危険度“2”で警告した。感染力は“高”となっている。 Mydoom.ADは、独自のSMTPエンジンを利用し、感染したPCから収集したメールアドレスに自分自身を添付して感染を拡大するウイルス。IRCやP2Pソフトを介しても感染する。また、感染すると「This will install microsoft security patch,please wait...」「This Patch has been successfully installed.」などと偽のメッセージウインドウを表示するのが特徴だ。 ウイルスが添付するメールの差出人は詐称し、件名や本文は複数の候補から選択される。添付ファイル名も「pack_55775」「update_52345」「patch_7547」など50以上の候補から選択するようになっている。なお、添付ファイルの拡張子は「.cmd」「.cpl」「.exe」「.pif」「.scr」など。 感染後の具体的な症状はまず、共有リソースへのアクセスを1スレッドのみ許可する機能「ミューテックス」を生成し、亜種も含めた「Netsky」の動作を妨げる。続いて、「This will install ……」のメッセージを表示。システムフォルダなどに「patch31345.exe」を作成し、レジストリキーの追加や改ざんを行なう。
次に、「www.symantec.com」「www.nai.com」「www.trendmicor.com」といったセキュリティ関連のWebサイトへの接続を妨げるようなファイルをシステムフォルダに追加。さらに、あらかじめ設定されたWebサイトから「eex.exe」「eex2.exe」といったファイルをダウンロードする。 また、KazaaやeDonkeyなどのP2Pファイル交換ソフトで利用する共有フォルダや、ICQのダウンロード用フォルダにウイルス自身をコピー。その後、「This Patch has ……」のメッセージを表示するほか、「TASKMGR.EXE」「JAMMER2ND.EXE」「FirewallSvr.exe」など600を超えるプロセスを停止する。
感染してしまった場合は、改変されたレジストリ情報を修正し、最新のウイルス定義ファイルを使ってスキャンの後、「Mydoom.AD」として検出されたファイルを全て削除する必要がある。その際に、Windows XP/Meでは「システムの復元オプション」を無効にしなければならないので、注意が必要だ。 関連情報 ■URL Mydoom.AD(英文) http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ad@mm.html ■関連記事 ・ Mydoom亜種が複数発生、先週末から一挙に「S」「T」「U」「V」が出現(2004/09/13)
( 鷹木 創 )
- ページの先頭へ-
|
