マカフィーは17日、米国時間の16日に発見された大量メール送信型ウイルス「W32/Mydoom.bb@MM」(以下「Mydoom.BB」)の感染が拡大しているとして危険度“中”で警告した。
セキュリティベンダー各社でも警告しており、主な呼称と危険度判定は、トレンドマイクロが「WORM_MYDOOM.BB」で危険度“中”、シマンテックが「W32.Mydoom.AX@mm」で危険度は5段階中の“3”となっており、2社とも感染力を“高”と判定している。なお、ソフォスでは今回発見されたウイルスを、2004年7月に発見された同様のウイルス「W32/MyDoom-O」(別名「Mydoom.M」)として分類している。
Mydoom.BBは、感染したPCから送信されるウイルスメールの添付ファイルを開くことで感染する。マカフィーによると、Mydoom.BBのウイルスメールは差出人が詐称されており、「Postmaster」「 Returned mail」「MAILER-DAEMON」などの表示名によってメールシステムからの返信を装っている。件名は「hello」「hi」「error」「delivery failed 」「Mail System Error - Returned Mail」など10数パターン。
本文では、「あなたのアカウントが大量のジャンクメール送信に使われているとの報告があり、PCが不正侵入されたものと考えられる」などとして、添付ファイルの説明に従うよう促す。添付ファイルは拡張子が「.exe」「.com」「.scr」「.pif」「.bat」「.cmd」「.zip」のいずれかで、ファイル名には「README」「INSTRUCTION」「TRANSCRIPT」などのほか、Mydoom.BBが収集したメールアドレスも使われる。さらに2重に拡張子が使われ、ユーザーを欺くために拡張子の間にスペースが挿入されている場合もあるとしている。
Mydoom.BBに感染すると、PC内の「.doc」「.htm」「.html」「.txt」ファイルやOutlookのアクティブウィンドウ上からメールアドレスを収集するほか、さらにメールアドレスを求めて4つの検索エンジンにもアクセスする。ソフォスによると、Mydoom.BBが各検索エンジンに照会する割合は「www.google.com」が45%、「search.lycos.com」が22.5%、「search.yahoo.com」が20%、「www.altavista.com」が12.5%。感染PC内から収集したメールアドレスのドメイン名をもとに検索し、その結果を分析するのだという。
Mydoom.BBは、収集したアドレス宛にウイルスメールを送信して感染拡大を試みるほか、「userprofile」また「yahoo.com」という文字列が含まれるフォルダに自身をコピーし、ファイル共有ネットワークを通じても拡散する。さらに感染後はトロイの木馬をダウンロードしてバックドアを開く。
感染してしまった場合は、ウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、Mydoom.BBなどとして検出されたファイルを削除するとともに、改変されたレジストリを修正する必要がある。なお、Windows XP/Meではシステムの復元オプションを一時的に無効にしておく必要がある。
関連情報
■URL
マカフィーの「W32/Mydoom.bb@MM」情報
http://www.mcafeesecurity.com/japan/security/virM.asp?v=W32/Mydoom.bb@MM
トレンドマイクロの「WORM_MYDOOM.BB」情報
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.BB
シマンテックの「W32.Mydoom.AX@mm」情報
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.ax@mm.html
ソフォスの「W32/MyDoom-O」情報
http://www.sophos.co.jp/virusinfo/analyses/w32mydoomo.html
■関連記事
・ Yahoo!やGoogleを遅延させるウイルス「Mydoom.M」が危険度“4”で蔓延(2004/07/27)
( 永沢 茂 )
2005/02/17 16:10
- ページの先頭へ-
|