| 1. |
種別: ワーム |
| 2. |
亜種: 「Mydoom」 |
| 3. |
別名:
W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend],
Win32.Mydoom.O [Computer Associates] |
| 4. |
差出人:収集したメールアドレスのいずれかを利用して詐称されています。 |
| 5. |
件名:以下の英文のうち、いずれかである可能性があります。
| |
say helo to my litl friend / click me baby,
one more time / hello / error / status /
test / report / delivery failed / Message could not be delivered
/
Mail System Error - Returned Mail / Delivery reports about
your e-mail /
Returned mail: see transcript for details / Returned mail:
Data format error |
|
| 6. |
本文:複数の候補と条件からランダムに選ばれた英文となります。 |
| 7. |
添付ファイル名:以下のファイル名と拡張子を組み合わせたものになります。また、ファイル名には感染したコンピュータから発見されたメールアドレスのドメインの中からランダムに選ばれたドメインが含まれている可能性があります。
| |
| ファイル名: |
readme / instruction / transcript / mail
/ letter / file / text / attachment /
document / message |
| 拡張子: |
.cmd / bat / com / exe / pif / scr / zip |
さらに、以下の拡張子が2個目の拡張子として組み合わされている可能性があります。
| 拡張子: |
.doc / txt / htm / html |
|
|
| 8. |
感染すると、ワームは自分自身を%Windir%\java.exeと%Windir%\services.exeとしてコピーします。
| * |
%Windir%は可変です。このワームはWindowsのインストールフォルダを探し出し、その場所に自分自身をコピーします。
標準では、このフォルダはC:\Windows(Windows XP)です。 |
|
| 9. |
感染すると以下のファイルがWindowsのテンポラリフォルダ内に作成されます。
| |
| zincite.log |
| [不規則に命名されたファイル].log |
|
|
| 10. |
起動時に必ず「W32.Mydoom.M@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
| * |
値 : |
"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe" |
| |
場所 : |
上記値が次のレジストリキーに追加されます。
HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run |
|
