ウイルス情報

かかりやすさ:中

( W32.Bofra.A.IWorm )

メール内のリンクから感染する[メール無断送信]ワーム

別名_
W32.Mydoom.AH@mm、Win32/Mydoom.AH@mm
更新日:
2004年11月8日(月)
■感染したらどうなる
  • パソコン内のメールアドレスを勝手に探し出し、差出人を偽ったメールを送信します。また、悪意ある人に侵入される入り口が作られてしまいます。感染には気づきにくいですが、パソコンが急に重く感じられるときは感染の疑いがあります。
■感染しないためには
  • 件名がhi! 、hey!、Confirmation、もしくは空白で、本文が英語で書かれたメールが来たら、文中にあるリンクをクリックしないですぐに削除してください。メールに添付ファイルはありません。
    (メール本文の具体例は詳細情報をご確認ください。)
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。

    ※ウイルス名が「マイドゥーム・AD」から「ボフラ・A」に変更になりました。(2004/11/17)
■詳細情報
  • 「W32.Bofra.A.IWorm」は、Microsoft Internet ExplorerのIFRAMEのバッファオーバーフローの脆弱性を利用して、ウイルスのダウンロードを行ない、感染を引き起こします。

    送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンから勝手にメールアドレスを取得し、なりすまします。

    件名:以下の可能性があります。
    hi!
    hey!
    Confirmation
    空欄

    本文:以下の可能性があります。
    ■Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your  item will be shipped within three business days.
    To see details please click this link .

    DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be  received.

    Thank you for using PayPal.

    ■Hi! I am looking for new friends.
    My name is Jane, I am from Miami, FL.

    See my homepage with my weblog and last webcam photos!

    See you!

    添付ファイル:ありません。
  • レジストリの値を作成
    ワームを <ランダム>32.exe というファイル名でシステムディレクトリに自分自身を保存します。

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Reactor<ランダム> = C:\WINDOWS\System32\<ランダム>32.exe
  • また、以下のレジストリキーも作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComExplore
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComExplore
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version

    %System%は、システムディレクトリです。
  • 大量メール送信
    このウイルスは、感染したパソコン内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    txt
    htmb
    shtl
    phpq
    aspd
    dbxn
    tbbg
    adbh
    pl
    wab
  • 組み込まれたIRCサーバのリストから、TCPポート6667上で接続しようとします。
    broadway.ny.us.dal.net
    brussels.be.eu.undernet.org
    caen.fr.eu.undernet.org
    ced.dal.net
    coins.dal.net
    diemen.nl.eu.undernet.org
    flanders.be.eu.undernet.org
    graz.at.eu.undernet.org
    london.uk.eu.undernet.org
    los-angeles.ca.us.undernet.org
    lulea.se.eu.undernet.org
    ozbytes.dal.net
    qis.md.us.dal.net
    vancouver.dal.net
    viking.dal.net
    washington.dc.us.undernet.org
  • 不正アクセスの許可
    このウイルスに感染すると、TCPポート1639番が開かれ、不正なアクセスを許可してしまいます。