PCの修理が必要ですか?
専門家に頼む
ウイルスWORM/Mydoom.O.1
発見日:28/04/2011
タイプワーム
感染報告有りはい
感染報告
感染の可能性
ダメージ・ポテンシャル低~中
スタティック・ファイルはい
ファイル・サイズ28.864 バイト
MD5 チェックサム81c59761451fc137ff0c253a5141610d
VDFファージョン:7.11.07.62 - 2011年4月28日木曜日
IVDFファージョン:7.11.07.62 - 2011年4月28日木曜日

 一般情報 感染方法
   • Eメール


別名
   •  Symantec: W32.Mydoom.M@mm
   •  McAfee: W32/Mydoom.o@MM
   •  Kaspersky: Email-Worm.Win32.Mydoom.m
   •  Sophos: W32/MyDoom-O
   •  Microsoft: Worm:Win32/Mydoom.O@mm


プラットフォーム/OS:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


副作用
   • ファイルを作成します。
   • レジストリの改変。

 ファイル それ自体を以下の場所にコピーします。
   • %WINDIR%\java.exe



以下のファイルが作成されます:

%WINDIR%\services.exe 作成が完了した後、起動されます。 詳しい調査の結果、このファイルもマルウェアであることが判明しました。
%TEMPDIR%\allja3.log このファイルはシステムについて収拾された情報を含みます。
%TEMPDIR%\zincite.log このファイルはシステムについて収拾された情報を含みます。

 レジストリ 再起動後そのプロセスを実行するため、それぞれのレジストリ・キーに、それらの値のうちの1つを追加します:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "JavaVM"="%WINDIR%\java.exe"
   •

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\services.exe"

 Eメール それはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです:


宛先:
– 検索エンジンを使って収集されたアドレス

 バックドア 以下のポートが開かれます:

– services.exe TCPポートに 1034 バックドアを開くため

 ファイルの詳細 プログラム言語:
このマルウェアプログラムはMS Visual C++で書かれています。


ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、以下のランタイム・パッカーで圧縮してあります。
   • UPX

説明の挿入者 Andrei Ilie の 2011年5月26日木曜日
説明の更新者 Andrei Ilie の 2011年5月30日月曜日

戻る . . . .
https:// このウィンドウは暗号化されています。