Internet Watch logo
記事検索
最新ニュース

セキュリティベンダー各社、検索エンジンを利用するMydoomの亜種を警告


 シマンテックらセキュリティベンダー各社は、大量メール送信型ウイルス「W32/Mydoom.AZ@mm」(以下「Mydoom.AZ」)と、「W32/Mydoom.BA@mm」(以下「Mydoom.BA」)を警告した。いずれも危険度は5段階中の“2”だが、感染力は“高”と注意を呼びかけている。なお、トレンドマイクロやマカフィーではMydoom.AZを「Mydoom.BC」「Mydoom.BD」と呼称している。

 Mydoom.AZとMydoom.BAは、感染したPCから送信されるウイルスメールの添付ファイルを開くことで感染する。シマンテックによると、いずれのウイルスメールも差出人が詐称されており、「Postmaster」「Returned mail」「MAILER-DAEMON」などの表示名によってメールシステムからの返信を装う。件名は「hello」「hi」「error」「delivery failed」「Mail System Error - Returned Mail」など10数パターン。

 本文では、「あなたのアカウントが大量のジャンクメール送信に使われているとの報告があり、PCが不正侵入されたものと考えられる」などとして、添付ファイルの説明に従うよう促す。添付ファイルは拡張子が「.exe」「.com」「.scr」「.pif」「.bat」「.cmd」「.zip」のいずれかで、ファイル名には「README」「INSTRUCTION」「TRANSCRIPT」などのほか、ウイルスが収集したメールアドレスも使われる。さらに2重に拡張子が使われ、ユーザーを欺くために拡張子の間にスペースが挿入されている場合もあるとしている。

 感染すると、PC内のDOC/HTM/HTML/TXT形式のファイルやOutlookのアクティブウィンドウ上からメールアドレスを収集。また、メールアドレスを探して、「www.google.com」「search.yahoo.com」「search.lycos.com」「www.altavista.com」といった4つの検索エンジンにもアクセスする。

 収集したアドレス宛にウイルスメールを送信して感染拡大を試みるほか、Windowsのインストールフォルダに「service.exe」という名称でトロイの木馬「Backdoor.Zincite.A」を保存。Mydoom.BAは、一時フォルダに暗号化された「zinxite.log」などを生成し、保存する。

 感染後には、いずれのウイルスとも「www.aartanridge.org.uk」「www.eastcoastchoons.co.uk」「www.foxalpha.com」といったサイトからトロイの木馬「Backdoor.Nemog.D」をダウンロードするという。

 なお、シマンテックが提供する無償のMydoom駆除ツールでは、Mydoom.AZやBackdoor.Zincite.A、Backdoor.Nemog.Dの駆除に対応。Mydoom.BAに関しては駆除ツールは未対応だが、ウイルス定義ファイルの「2/20/2005 rev. 7」以降で対応している。


関連情報

URL
  ウイルス情報(Mydoom.AZ)
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.az@mm.html
  ウイルス情報(Mydoom.BA、英文)
  http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.ba@mm.html
  Mydoom駆除ツール
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom@mm.removal.tool.html

関連記事
GoogleやYahoo!でメール送信先を探すウイルス「Mydoom.BB」が感染拡大中(2005/02/17)


( 鷹木 創 )
2005/02/21 20:09

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.