ウイルス情報

かかりやすさ:中

( W32.Mydoom.S.IWorm )

メール添付ファイルから感染する[メール無断送信]ワーム

別名_
--
更新日:
2004年8月15日(日)
■感染したらどうなる
  • パソコン内のメールアドレスを自動で探し出し、ウイルスを添付したメールを送信するだけでなく、攻撃者がパソコンに侵入するための入り口が作られてしまいます。メールソフトで送るわけではなく、特に自覚症状はありません。
    インターネット接続時にアイコンをタスクトレイ表示する設定にしていて、何もしていないのにアイコンが点滅する場合は要注意です。
■感染しないためには
  • メールに添付された「photos_arc.exe」という添付ファイルは実行しないようにしてください。
    使用される拡張子は「.exe」です。詳しくは「詳細情報」をご覧ください。
■どうすれば直る
  • 「ウイルスセキュリティ」は、すでにこのウイルスに対応済みです。ご安心ください。
■詳細情報
  • 送信されるメールの形式は以下の通りですのでご注意ください。
    差出人:感染したパソコンからランダムにメールアドレスを取得し、なりすまします。

    ドメインは次のいずれかになります。
    t-online.de
    mail.com
    yahoo.com
    hotmail.com

    添付ファイル:
    photos_arc.exe
    使用される拡張子は「.exe」のみです。

    件名:
    photos

    本文:
    LOL!;))))
  • レジストリの値を作成
    添付ファイルを実行すると、ワームがシステムディレクトリにインストールされ、自分自身のコピーを作成し、以下のレジストリの値を作成します。

    以下に自分自身をコピーします。
    %Windows%\RASOR38A.DLL
    %System%\WINPSD.EXE

    システム起動時にウイルスが実行されるように、レジストリの値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    winpsd = "%System%\winpsd.exe"

     Windows98/Meの場合
      %Windows%フォルダは C:\Windows
      %System%フォルダは C:\Windows\System
     Windows2000の場合
      %Windows%フォルダは C:\WinNT
      %System%フォルダは C:\WinNT\System32
     WindowsXP の場合
      %Windows%フォルダは C:\Windows
      %System%フォルダは C:\Windows\System32
  • 大量メール送信
    このウイルスは、ハードディスク内を検索して、以下の拡張子のファイルから、ウイルスのコピーの送り先とするためのメールアドレスを抜き取ります。
    .htm
    .sht
    .php
    .asp
    .dbx
    .tbb
    .adb
    .wab
    .pl
  • 以下の文字列を含むアドレスには送信しません。
    avpsyma
    icrosof
    msn.
    hotmail
    panda
    sopho
    borlan
    inpris
    example
    mydomai
    nodomai
    ruslis
    .gov
    gov.
    .mil
    foo.
    berkeley
    unix
    math
    bsd
    mit.e
    gnu
    fsf.
    ibm.com
    google
    kernel
    linux
    fido
    usenet
    iana
    ietf
    rfc-ed
    sendmail
    arin.
    ripe.
    isi.e
    isc.o
    secur
    acketst
    pgp
    tanford.e
    utgers.ed
    mozilla
    be_loyal:
    root
    info
    samples
    postmaster
    webmaster
    noone
    nobody
    nothing
    anyone
    someone
    your
    you
    bugs
    rating
    site
    contact
    soft
    somebody
    privacy
    service
    help
    not
    submit
    feste
    gold-certs
    the.bat
    page
    admin
    icrosoft
    support
    ntivi
    unix
    bsd
    linux
    listserv
    certific
    google
    accoun
    abuse
    upport
    www
    spm
    spam
    www
    secur
    abuse

    また、以下の2つのウェブサイトから、バックドアコンポーネントをダウンロードします。

    www.richcolour.com
    zenandjuice.com