米Symantecは、メールで感染を拡大するワーム型ウイルス「W32.Mydoom.AI@mm」(Mydoom.AI)を危険度“2”で警告した。
Mydoom.AIは、1,100以上の姓と47の名前を組み合わせて差出人を詐称したウイルスメールを発信する。姓の候補には「Anthony」「Hanssen」「Jackson」「Walter」などのほか、「Ichikawa」「Igarashi」「Inamura」「Kimura」「Yamane」といった日本人風の姓も含まれている。
Mydoom.AIに感染すると、Windowsのシステムフォルダにウイルス自身などを複製。続いて、レジストリキーを改ざんしてWindowsの起動とともにウイルスが動作するように設定を変更する。さらに、Tempフォルダに「Mes#wtelw」というテキストファイルを生成し、notepad.exeを利用して不要な“ゴミ”データを入力するという。
ウイルスメールについては、差出人のアドレスを「hotmail.com」「yahoo.com」「msn.com」などのドメインに偽装。添付ファイル名には「body」「message」「rules」「readme」など9種類のいずれかを表示。添付ファイルの拡張子は「.bat」「.cmd」「.exe」「.scr」「.pif」「.zip」のいずれかとなる。なお、詳細は以下の通り。
●差出人:
・詐称する
●件名:(次のうちのいずれか)
・Attention!!!
・Do not reply to this email
・Error
・Good day
・hello
・Mail Delivery System
・Mail Transaction Failed
・Server Report
・Status
●本文:(一部候補のみ掲載)
・The message contains Unicode characters and has been sent as a binary attachment.
・Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It's a real good choise to go to WORLDXXXPASS.COM
・New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web.
Thank you,
The World Bank Group
c 2004 The World Bank Group, All Rights Reserved
Mydoom.AIはこのほか、ウイルス自身を「Kazaa」「Morpheus」「eDonkey」などのP2Pファイル交換ソフトの共有フォルダに「porno」「NeroBROM6.3.1.27」「winxp_patch」「adultpasswds「winamp5」といった名称で複製する。また、「PandaAVEngine.exe」などのウイルス対策ソフトのプロセスなどを停止するほか、「symantec.com」「www.mcafee.com」「trendmicro.com」といったウイルス対策関連のWebサイトへのアクセスができないように設定を変更してしまう。
感染した場合は、最新のウイルス定義ファイルを使ってスキャンし、ウイルスとして検出されたファイルを全て削除した上、改変されたレジストリ情報を修正する。Windows XP/Meでは、あらかじめ「システムの復元オプション」を無効にしておく必要がある。
関連情報
■URL
ウイルス情報(英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ai@mm.html
■関連記事
・ メールのリンクをクリックするだけで感染、IEの脆弱性を突くMydoom.AH(2004/11/09)
( 鷹木 創 )
2005/01/17 15:29
- ページの先頭へ-
|