米Symantecは、メールで感染を拡大するワーム型ウイルス「W32.Mydoom.AN@mm」(Mydoom.AN)を危険度“2”で警告した。
Mydoom.ANは、497種類の姓と446種類の名前を組み合わせて差出人を偽装したウイルスメールを送信し、感染を拡大しようとするウイルス。差出側のメールアドレスも、姓名と76種類のドメイン名を組み合わせた架空のメールアドレスを偽装する。
Mydoom.ANに感染すると、Windowsのシステムフォルダにウイルス自身を複製し、レジストリキーを改ざんしてWindowsの起動時にウイルスが動作するように設定を変更する。また、この際に変更したレジストリキーをユーザーがレジストリエディタから変更できないように設定するほか、hostsファイルを書き換えて「symantec.com」「trendmicro.com」などのサイトにアクセスできないようにするなど、ウイルスの駆除対策を困難にする活動を行なう。
さらに、バックドアとしての動作を行なう別のウイルス「Backdoor.Nemog.D」を外部のサーバーからダウンロードしてインストールを行なうほか、メッセージングソフト「ICQ」のアプリケーションフォルダにウイルスを複製し、ICQの他のユーザーに対してウイルスのダウンロードを促すメッセージを送信する。
ウイルスメールについては、アドレス帳やInternet Explorerのキャッシュファイルなどからメールアドレスを収集し、偽装したメールアドレスを用いてウイルスを添付したメールを送信する。詳細は以下の通り。
●差出人:
・詐称する
●件名:(一部候補のみ記載)
・Remember me?
・Hi again
・Important, see attchmnt
・Secret message
・Look who's naked =)
・Is it your girl?
・My girl, for your eyes only
・Office jokes /-))
・Birthday Party Invitation!
・Christmas ePostCard
・An e/-postcard is waiting for you
●本文:(次のうちのいずれか)
・Remember me?
・Hi, [name from email address] has sent you an christmas postcard.
・Merry X/-Mas!
・Happy New Year!
・Postcard for you
・New Year Postcard from your friend
・New Year Postcard from [name from email address]
・Happy holidays! ;)
・You're only moments away from viewing your Doozy CARDtoon.
Simply click on the "Get Macromedia Flash Player"
graphic to the left.It's a cinch to install!Once you've
finished, click HERE to view your CARDToon.
If you need any help, we're just an email away.
Sincerely,
The Doozy Team
感染した場合は、最新のウイルス定義ファイルを使ってスキャンし、ウイルスとして検出されたファイルを全て削除した上、改変されたレジストリ情報を修正する。また、Windows XP/Meでは、あらかじめ「システムの復元オプション」を無効にしておく必要がある。
関連情報
■URL
ウイルス情報(英文)
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.an@mm.html
■関連記事
・ 1,100を超える姓と47の名前を組み合わせて差出人を詐称するウイルス(2005/01/17)
( 三柳英樹 )
2005/01/31 16:10
- ページの先頭へ-
|