TOPICS

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2004年8月16日(米国時間)に発見されました「W32.Mydoom.Q@mm」に関しまして、同日株式会社シマンテックはSymantec Security Responseを、この脅威の危険度を3として情報公開をおこなっております。
このウイルスの危険性の評価が高く設定されておりますので、早急にウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Mydoom.Q@mm」は、「Mydoom」の亜種で、大量メール送信/バックドア設置型のワームです。感染すると、コンピュータからメールアドレスを探し出し、発見したメールアドレスへ独自のメール送信機能を使用して自分自身を添付したメールを送信し感染の拡大を試みます。
さらに、特定のWebサイトからBackdoor.Nemogとして検出されるバックドアプログラムをダウンロードし、外部からの不正アクセスが可能な状態に設定します。
 
電子メールの差出人は詐称されています。


現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 亜種: 「Mydoom」
3. 別名:
W32/Mydoom.s@MM [McAfee], W32/MyDoom-S [Sophos],
Win32.Mydoom.S [Computer Associates], WORM_RATOS.A [Trend Micro]
4. 差出人:詐称されています。
5. 件名:
Photos
6. 本文:
LOL!;))))
7. 添付ファイル名:
photos_arc.exe
8. 感染すると、ワームは自分自身を%System%\winpsd.exeと%Windir%\rasor38a.dllとしてコピーします。
* %System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows\System32(Windows XP)です。
* %Windir%は可変です。このワームはWindowsのインストールフォルダを探し出し、その場所に自分自身をコピーします。 標準では、このフォルダはC:\Windows(Windows XP)です。
9. Backdoor.Nemogとして検出されるバックドアプログラムを次のWebサイトからダウンロードし、winvpn32.exeとして保存して実行します。
 
www.richcolour.com
zenandjuice.com
10. 起動時に必ず「W32.Mydoom.Q@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
* 値 : "winpsd"="%System%winpsd.exe"
  場所 : 上記値が次のレジストリキーに追加されます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

対処方法
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。
 
本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記 Home ページをご参照ください。

株式会社 シマンテック

関連情報
株式会社 シマンテック

(c)Copyright 2004 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.