Internet Watch logo
記事検索
最新ニュース

複数の姓名を組み合わせて差出人を詐称するウイルス「Mydoom.AN」


 米Symantecは、メールで感染を拡大するワーム型ウイルス「W32.Mydoom.AN@mm」(Mydoom.AN)を危険度“2”で警告した。

 Mydoom.ANは、497種類の姓と446種類の名前を組み合わせて差出人を偽装したウイルスメールを送信し、感染を拡大しようとするウイルス。差出側のメールアドレスも、姓名と76種類のドメイン名を組み合わせた架空のメールアドレスを偽装する。

 Mydoom.ANに感染すると、Windowsのシステムフォルダにウイルス自身を複製し、レジストリキーを改ざんしてWindowsの起動時にウイルスが動作するように設定を変更する。また、この際に変更したレジストリキーをユーザーがレジストリエディタから変更できないように設定するほか、hostsファイルを書き換えて「symantec.com」「trendmicro.com」などのサイトにアクセスできないようにするなど、ウイルスの駆除対策を困難にする活動を行なう。

 さらに、バックドアとしての動作を行なう別のウイルス「Backdoor.Nemog.D」を外部のサーバーからダウンロードしてインストールを行なうほか、メッセージングソフト「ICQ」のアプリケーションフォルダにウイルスを複製し、ICQの他のユーザーに対してウイルスのダウンロードを促すメッセージを送信する。

 ウイルスメールについては、アドレス帳やInternet Explorerのキャッシュファイルなどからメールアドレスを収集し、偽装したメールアドレスを用いてウイルスを添付したメールを送信する。詳細は以下の通り。


●差出人:
・詐称する

●件名:(一部候補のみ記載)
・Remember me?
・Hi again
・Important, see attchmnt
・Secret message
・Look who's naked =)
・Is it your girl?
・My girl, for your eyes only
・Office jokes /-))
・Birthday Party Invitation!
・Christmas ePostCard
・An e/-postcard is waiting for you

●本文:(次のうちのいずれか)
・Remember me?
・Hi, [name from email address] has sent you an christmas postcard.
・Merry X/-Mas!
・Happy New Year!
・Postcard for you
・New Year Postcard from your friend
・New Year Postcard from [name from email address]
・Happy holidays! ;)
・You're only moments away from viewing your Doozy CARDtoon.
 Simply click on the "Get Macromedia Flash Player"
 graphic to the left.It's a cinch to install!Once you've
 finished, click HERE to view your CARDToon.
 If you need any help, we're just an email away.
 Sincerely,
 The Doozy Team

 感染した場合は、最新のウイルス定義ファイルを使ってスキャンし、ウイルスとして検出されたファイルを全て削除した上、改変されたレジストリ情報を修正する。また、Windows XP/Meでは、あらかじめ「システムの復元オプション」を無効にしておく必要がある。


関連情報

URL
  ウイルス情報(英文)
  http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.an@mm.html

関連記事
1,100を超える姓と47の名前を組み合わせて差出人を詐称するウイルス(2005/01/17)


( 三柳英樹 )
2005/01/31 16:10

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.