PCの修理が必要ですか?
専門家に頼む
ウイルスWorm/Mydoom.L.2
発見日:19/07/2004
タイプワーム
感染報告有りはい
感染報告
感染の可能性中~高
ダメージ・ポテンシャル
スタティック・ファイルはい
ファイル・サイズ78.756 バイト
MD5 チェックサムa3026f698ac9b0c575f7ac39f1082e01
VDFファージョン:6.26.00.35

 一般情報 感染方法
   • Eメール
   • P2P(ピアツーピア)


別名
   •  Symantec: W32.Mydoom.L@mm
   •  McAfee: W32/Mydoom.n@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  TrendMicro: WORM_MYDOOM.L
   •  Sophos: W32/MyDoom-N
   •  Grisoft I-Worm/Mydoom.N
   •  VirusBuster: I-Worm.Mydoom.Q
   •  Eset Win32/Mydoom.Q
   •  Bitdefender: Win32.Mydoom.L@mm


プラットフォーム/OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。
   • 情報を盗みます。

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\lsass.exe



以下のファイルが作成されます:

– 収集したメールアドレスを含んだファイル
   • %TEMPDIR%\%ランダムな文字列%.txt

 レジストリ 以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Traybar" = "%WINDIR%\lsass.exe"

 Eメール それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:


送信者
送信者のアドレスは改変されています(spoof)。
作成されたアドレスです。送信者は送る意図があって送ったわけではありません。送信者は、感染されたことに気づいていないかもしれませんし、まったく感染していないかもしれません。さらに、あなたが感染されたと告げる多数のメールを受け取る可能性があります。これも真実ではないことがあります。


宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス


件名
以下のもの:
   • say helo to my litl friend
   • click me baby, one more time
   • hello
   • hi
   • error
   • status
   • test
   • report
   • delivery failed
   • Message could not be delivered
   • Mail System Error - Returned Mail
   • Delivery reports about your e-mail
   • Returned mail: see transcript for details
   • Returned mail: Data format error

件名はランダムな文字列になっていることもあります。


本文
メールの本文は以下のうちのどれかです:

   • The original message was included as attachment

   • This Message was undeliverable due to the following reason:
     
     Your message was not delivered because the destination computer was
     not reachable within the allowed queue period. The amount of time
     a message is queued before it is returned depends on local configura-
     tion parameters.
     
     Most likely there is a network problem that prevented delivery, but
     it is also possible that the computer is turned off, or does not
     have a mail system running right now.
     
     Your message was not delivered within %複数の乱数% days:
     Host %ランダムなIP アドレス% is not responding.
     
     The following recipients did not receive this message:
      %受信者のメールアドレス%
     
     Please reply to postmaster@%送信者のドメイン%
     if you feel this message to be in error.

   • The original message was received at Tue, %現在の日付% %現在の時間%
     from %受信者のドメイン% [%ランダムなIP アドレス% ]
     
     ----- The following addresses had permanent fatal errors -----
      %受信者のメールアドレス%
     
     ----- Transcript of session follows -----
      while talking to %受信者のドメイン%.:
     >>> MAIL From: %送信者のメールアドレス%
     <<< 501 %送信者のメールアドレス%... Refused

   • The original message was received at Tue, %現在の日付% %現在の時間%
     from %受信者のドメイン% [%ランダムなIP アドレス% ]
     
     ----- The following addresses had permanent fatal errors -----
      %受信者のメールアドレス%


添付ファイル
添付ファイルの名前は以下のものから構成されています:

–  以下のうちのどれかで始まります:
   • readme
   • transcript
   • mail
   • letter
   • file
   • text
   • attachment
   • document
   • message

    ファイル拡張子は以下のうちのどれかです:
   • bat
   • cmd
   • com
   • exe
   • pif
   • scr
   • zip

添付ファイルは、マルウェア自身のコピーです。

添付ファイルはそのマルウェアのコピーを含むアーカイブです。



メールは以下のようなものです:


 送信 アドレスの検索:
以下のファイルからメールアドレスを検索します:
   • doc
   • txt
   • htm
   • html


FROM欄のためのアドレス作成
アドレスを作成するのに以下の文字列を使用します:
   • Postmaster
   • Mail Administrator
   • Automatic Email Delivery Software
   • Post Office
   • The Post Office
   • Bounced mail
   • Returned mail
   • MAILER-DAEMON
   • Mail Delivery Subsystem



アドレスは無視します:
以下の文字列を含むアドレスにはメールは送られません:
   • .gov; .mil; abus; accoun; admi; anyone; arin.; avp; bar.; bug;
      contact; crosoft; domain; example; feste; foo.; gmail; gnu.;
      gold-certs; google; gov.; help; hotmail; info; labs; listserv; master;
      math; microsoft; msn.; nobody; noone; not; nothing; ntivi; ophos;
      page; panda; privacycertific; rarsoft; rating; ripe.; root; sample;
      sarc.; seclist; secur; service; sf.net; site; soft; someone;
      sourceforge; spam; spersk; spm; submit; suppor; syma; the.bat; update;
      uslis; winzip; you; your


MX文字列を前に入れます:
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます:
   • mx.
   • mail.
   • smtp.

 P2P P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します:


   以下のサブストリング(substring)を含むディレクトリを検索します:
   • incoming
   • ftproot
   • download
   • shar

   成功すると、以下のファイルが作成されます:
   • Kazaa Lite
   • Harry Potter
   • ICQ 4 Lite
   • WinRAR.v.3.2.and.key
   • Winamp 5.0 (en) Crack
   • Winamp 5.0 (en)

   それらのファイルはこのマルウェアのコピーです。

 プロセス中断 以下のウインドウの階層名を含むプロセスが終了されます:
   • IEFrame
   • ATH_Note
   • rctrl_renwnd32


 バックドア 以下のポートが開かれます:

%実行されたマルウェアのディレクトリ%\%実行ファイル% TCPポートに 1042 バックドアを開くため

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。

説明の挿入者 Irina Boldea の 2006年2月28日火曜日
説明の更新者 Robert Harja Iliescu の 2006年9月5日火曜日

戻る . . . .
https:// このウィンドウは暗号化されています。