Internet Watch logo
記事検索
最新ニュース

Mydoomに感染しているマシンにさらに感染するウイルス「Doomjuice」

~メールの感染活動は行なわないが、Microsoftに対してDDoS攻撃を実行

Doomjuiceが作成するMydoomのソースコードのコピーを圧縮したファイルの一例
 トレンドマイクロやF-Secureなどセキュリティベンダー各社は10日、すでにウイルス「Mydoom.A」や「Mydoom.B」に感染しているPCを標的に、さらに感染するウイルス「Doomjuice」を警告した。トレンドマイクロでは、危険度を“低”としながらも、ダメージ度や感染力は“高”と評価している。

 Doomjuiceは、トロイの木馬型のウイルス。メールによる感染活動は行なわないが、ランダムなIPアドレスのポート3127番を検索し、このポートが開いている場合には、自分自身をコピーして感染を広げるという。ポート3127番は、Mydoomのバックドアが外部との通信を行なうためのポートの一部であるため、すでにMydoomに感染しているPCを標的にしていると考えられる。また感染後は、MicrosoftのWebサイトに対して、DDoS攻撃も行なう。

 実際にDoomjuiceに感染すると、自分自身のコピーをWindowsのシステムフォルダに「intrenat.exe」としてコピーし、レジストリを改変する。これにより、PC起動時には常にDoomjuiceが起動するようになる。また、Mydoomのソースコードのコピーを圧縮したファイルを以下の場所に作成する。

・<システムフォルダ>\sync-src-1.00.tbz
・<ルートフォルダ>\sync-src-1.00.tbz
\sync-src-1.00.tbz

 そして、システムの日付が2月9日以降だった場合に、「microsoft.com」に対してDDoS攻撃を実行するという。

 万が一感染してしまった場合には、タスクマネージャを起動してメモリ上で実行されているウイルスプログラムを終了した後に、レジストリを修正しなければならない。再起動後に、ウイルス対策ソフトの定義ファイルを最新版にアップデートし、「Doomjuice」として検出したファイルをすべて削除ればよいという。ただし、Windows XP/Meを利用している場合には、「システムの復元オプション」を無効にしてから作業を行なう必要があるため、注意が必要だ。


関連情報

URL
  トレンドマイクロ
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A
  F-Secure
  http://www.f-secure.co.jp/v-descs/v-descs3/doomjuice.html

関連記事
件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27)
Mydoomを“アップデート”し、SCOとMicrosoftを攻撃する亜種(2004/01/29)
ウイルス「Mydoom」をアンインストールするウイルスが登場(2004/02/09)


( 大津 心 )
2004/02/10 15:27

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.