Internet Watch logo
記事検索
最新ニュース

トレンドマイクロ、複数の「WORM.MYTOB」亜種をイエローアラートで警告


 トレンドマイクロは9日、メールで感染を拡大するワーム型ウイルス「WORM.MYTOB.EC」と「WORM.MYTOB.ED」をイエローアラートで警告した。ウイルスパターンファイル「2.618.01」でMYTOB.EC、「2.618.03」でMYTOB.EDの駆除にそれぞれ対応した。

 「MYTOB.ECとMYTOB.EDの感染報告が国内企業から報告されたため、イエローアラートを発令した」(トレンドマイクロ広報)という。同社では限定的なパターンファイルとして「2.618.01」と「2.618.03」を公開。現在、正式に対応したパターンファイルの公開に向けてテストを実施している。

 MYTOB.ECの危険度は3段階中の“低”だが、ダメージ度、感染力ともに“高”。感染すると、WindowsのシステムフォルダにWINSVC32.EXEという自分自身のコピーファイルを作成し、レジストリを改変する。また、インターネット上のIRCサーバーに接続して、外部からワームをコントロールするためのバックドアを開く。さらに、hostsファイルを改変して、トレンドマイクロやシマンテックなどセキュリティベンダーのサイトへのアクセスを妨げるという。

 MYTOB.EDも基本的にはMYTOB.ECと同様に感染活動を行なう。システムフォルダに1HELLBOT.EXEという自分自身のコピーファイルを作成し、レジストリを改変。IRCサーバーにアクセスしてバックドアを開き、hostsファイルの改変も行なう。MYTOB.ECとの違いは、「H-e-l-l-B-o-t-3!!!」というミューテックスを作成し、ウイルス自身のコピーが複数同時に実行されないよう設定することだという。なお、MYTOB.EDの危険度も3段階中の“低”だが、感染力は“高”となっている。

 MYTOB.ECとMYTOB.EDのウイルスメールの詳細は以下の通り。差出人はいずれも詐称する。


【MYTOB.EC】

●件名:<以下のいずれか>
・Error
・hello
・Here is your documents.
・Mail Delivery System
・Mail Transaction Failed
・Re: Thank you for delivery
・something for you
・Status

●メッセージ本文:<以下のいずれか>
・Here are your banks documents.
・The original message was included as an attachment
・The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
・The message contains Unicode characters and has been sent as a binary attachment
・Mail transaction failed. Partial message is available

●添付ファイル名:<以下のいずれか>
・body
・doc
・text

●添付ファイルの拡張子:<以下のいずれか>
・BAT
・CMD
・EXE
・PIF
・SCR
・ZIP

【MYTOB.ED】

●件名:<以下のいずれか>
・Notice: **Last Warning**
・Your email account access is restricted
・Your Email Account is Suspended For Securi
・Notice:***Your email account will be suspe
・Security measures
・Email Account Suspension
・*IMPORTANT* Please Validate Your Email Acc
・*IMPORTANT* Your Account Has Been Locked

●メッセージ本文:<以下のいずれか>
・Once you have completed the form in the attached file, your account records will not be interrupted and will continue as normal.
・To unblock your email account access, please see the attachment.
・Please see the attachment.
・We have suspended some of your email services, to resolve the problem you should read the attached document.
・To safeguard your email account from possible termination, please see the attached file.
・Please look at attached document.
・Account Information Are Attached!

●添付ファイル名:<以下のいずれか>
・email-info
・email-text
・email-doc
・information
・your_details
・document_full
・IMPORTANT info-text

●添付ファイルの拡張子:<以下のいずれか>
・exe
・pif
・scr
・zip

※添付ファイルは、通常ZIP形式で圧縮されている。

 なお、シマンテックでは、「Your Email Account is Suspended For Security Reasons」という件名のウイルスメールで感染を広げる「W32.Mydoom.BO@mm」を5段階中の危険度“2”で警告している。

 Mydoom.BOはウイルスメールのほかに、1hellbot.exeをシステムフォルダ内に作成する点や、ミューテックス「H-e-l-l-B-o-t-3-!!!」を作成する点などがMYTOB.EDに酷似しており、トレンドマイクロでは「シマンテックのMydoom.BOはトレンドマイクロのMYTOB.EDと同じウイルスだ」としている。


関連情報

URL
  WORM.MYTOB.EC(トレンドマイクロ)
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.EC
  WORM.MYTOB.ED(トレンドマイクロ)
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYTOB.ED
  W32.Mydoom.BO@mm(シマンテック)
  http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mydoom.bo@mm.html


( 鷹木 創 )
2005/05/09 18:53

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.