Internet Watch logo
記事検索
最新ニュース

Yahoo!やGoogleを遅延させるウイルス「Mydoom.M」が危険度“4”で蔓延


 シマンテックやトレンドマイクロなどのウイルス対策ベンダー各社は26日、独自のSMTPエンジンでメールを大量送信し、バックドアを仕掛けるウイルス「Mydoom.M」を発見したと発表した。シマンテックでは、危険度を5段階中の“4”、トレンドマイクロは危険度“中”として警告している。また、マカフィーやソフォスなどでは「Mydoom.O」と呼んでいるため、注意が必要だ。

 Mydoom.Mは、ウイルス「Mydoom」の亜種。独自のSMTPエンジンを用いて、感染したPC内で発見したメールアドレスすべてに自分自身のコピーを送信するほか、TCP 1034番ポートを利用してバックドアプログラムを実行する。特徴は、Yahoo!やGoogleなどのサーチエンジンを用いて、追加のメールアドレスを収集するため、それらのサーチエンジンに負荷がかかる可能性がある点だ。

 Mydoom.Mに感染すると、Windowsのインストールフォルダに「services.exe」もしくは「java.exe」として自分自身をコピーし、レジストリを改変する。続いて、「.htm」や「.php」「.txt」などの拡張子が付いているファイルからメールアドレスを収集する。さらに、送信するメールアドレスを追加で収集するために、以下の4種類のサーチエンジンにクエリーを送信する。

・http://search.lycos.com
・http://www.altavista.com
・http://search.yahoo.com
・http://www.google.com

 収集したメールアドレスに対して、独自のSMTPエンジンを用いて自分自身のコピーを送信する。その際、差出人欄を詐称するほか、件名や本文は複数の候補からランダムに選択するため、一様ではない。また、添付ファイルは二重拡張子になっている場合があり、その際の2つ目の拡張子は「.doc」「.txt」「.htm」「.html」のいずれかが付与される。したがって、二重拡張子になっている場合にはウイルスの可能性が高いため、十分な注意が必要だ。また、バックドア活動としてTCP 1034番ポートを開き、外部からのコマンドを待機するという。

 感染した場合には、利用しているウイルス対策ソフトのウイルス定義ファイルを最新版に更新し、「Mydoom.M」または「Mydoom.O」として検出されたファイルを削除すればよい。また、改変されたレジストリを修正する必要がある。また、シマンテックやトレンドマイクロなどでは、駆除ツールも提供しているため、これらを利用する方法もある。


ウイルス「Mydoom.M」の一例 Mydoom.Mの例。添付ファイルの拡張子が「.com.zip」と二重になっているのがわかる

関連情報

URL
  シマンテック「Mydoom.M」
  http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.mydoom.m@mm.html
  トレンドマイクロ「Mydoom.M」
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.M&VSect=T

関連記事
件名「hi」や「test」などの新種ウイルス「Mydoom」に注意(2004/01/27)
Mydoomの感染速度は過去最大級、標的となったSCOは犯人逮捕に懸賞金(2004/01/28)


( 大津 心 )
2004/07/27 12:36

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.