システムフォルダに「NEC.EXE」というファイル名で感染するウイルスについて、各セキュリティベンダーが警告している。シマンテックでは「W32.Mydoom.BU@mm」(5段階の危険度で“2”)、トレンドマイクロでは「WORM_MYTOB.FC」(3段階の危険度で“低”)として注意を呼びかけている。なお、シマンテックではウイルス定義ファイル「70526r」で、トレンドマイクロでは「2.643.00」で対応した。
Mydoom.BUは、独自SMTPエンジンを備え、大量のウイルスメールを送信するワーム型ウイルス。感染するとシステムフォルダに「NEC.EXE」として自分自身をコピーし、レジストリを改竄してシステムが起動するたびにウイルス活動を行なうよう設定を変更する。
また、バックドア機能も備えており、「irc.blackcarder.net」サーバーのIRCチャンネル「#skyline2」に接続し、コマンドを待機。シマンテックによると外部からファイルをダウンロードさせたり、IRCコマンドを実行させるほか、コンピュータを再起動させることも可能だという。なお、ウイルスメールの差出人は詐称する。詳細は以下の通り。
●件名:(次のうち、いずれか)
・Notice: **Last Warning**
・*DETECTED* Online User Violation
・Your Email Account is Suspended For Security Reasons
・Account Alert
・Important Notification
・*WARNING* Your Email Account Will Be Closed
・Security measures
・Email Account Suspension
・Notice of account limitation
●本文:(次のうち、いずれか)
・Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
・The original message has been included as an attachment.
・We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
・We attached some important information regarding your account.
・Please read the attached document and follow it's instructions.
●添付ファイル:(次のうち、いずれか)
・email-info
・email-doc
・information
・account-details
・document
・INFO
・instructions
・info-text
・information
●添付ファイルの拡張子:(次のうち、 1つまたは複数)
・.tmp
・.doc
・.htm
・.txt
・.pif
・.scr
・.exe
・.cmd
・.bat
・.zip
このほか、シマンテックによるとMydoom.BUは、セキュリティ関連を含む579のプロセスを停止させる。また、セキュリティベンダーのサイトを含む43のhostsファイルを書き換え、サイトへのアクセスを妨げるという。
関連情報
■URL
W32.Mydoom.BU@mm(シマンテック)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.bu@mm.html
WORM_MYTOB.FC(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.FC
( 鷹木 創 )
2005/05/27 16:46
- ページの先頭へ-
|