ウイルス情報
かかりやすさ:中
ボフラ・A
( W32.Bofra.A.IWorm )
メール内のリンクから感染する[メール無断送信]ワーム
- 別名_:
- W32.Mydoom.AH@mm、Win32/Mydoom.AH@mm
- 更新日:
- 2004年11月8日(月)
- ■感染したらどうなる
-
- パソコン内のメールアドレスを勝手に探し出し、差出人を偽ったメールを送信します。また、悪意ある人に侵入される入り口が作られてしまいます。感染には気づきにくいですが、パソコンが急に重く感じられるときは感染の疑いがあります。
- ■感染しないためには
-
- 件名がhi! 、hey!、Confirmation、もしくは空白で、本文が英語で書かれたメールが来たら、文中にあるリンクをクリックしないですぐに削除してください。メールに添付ファイルはありません。
(メール本文の具体例は詳細情報をご確認ください。)
- ■どうすれば直る
-
- 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
※ウイルス名が「マイドゥーム・AD」から「ボフラ・A」に変更になりました。(2004/11/17)
- ■詳細情報
-
- 「W32.Bofra.A.IWorm」は、Microsoft Internet ExplorerのIFRAMEのバッファオーバーフローの脆弱性を利用して、ウイルスのダウンロードを行ない、感染を引き起こします。
送信されるメールの形式は以下の通りですのでご注意ください。
差出人:感染したパソコンから勝手にメールアドレスを取得し、なりすまします。
件名:以下の可能性があります。
hi!
hey!
Confirmation
空欄
本文:以下の可能性があります。
■Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
To see details please click this link .
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
■Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!
添付ファイル:ありません。
- レジストリの値を作成
ワームを <ランダム>32.exe というファイル名でシステムディレクトリに自分自身を保存します。
システム起動時にウイルスが実行されるように、レジストリの値を作成します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Reactor<ランダム> = C:\WINDOWS\System32\<ランダム>32.exe
- また、以下のレジストリキーも作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComExplore
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComExplore
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version
%System%は、システムディレクトリです。
- 大量メール送信
このウイルスは、感染したパソコン内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
txt
htmb
shtl
phpq
aspd
dbxn
tbbg
adbh
pl
wab
- 組み込まれたIRCサーバのリストから、TCPポート6667上で接続しようとします。
broadway.ny.us.dal.net
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
ced.dal.net
coins.dal.net
diemen.nl.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
london.uk.eu.undernet.org
los-angeles.ca.us.undernet.org
lulea.se.eu.undernet.org
ozbytes.dal.net
qis.md.us.dal.net
vancouver.dal.net
viking.dal.net
washington.dc.us.undernet.org
- 不正アクセスの許可
このウイルスに感染すると、TCPポート1639番が開かれ、不正なアクセスを許可してしまいます。