Topics ウイルス情報:「W32.Beagle.AZ@mm」にご注意ください。(2005/01/28) 対象機種:Microsoft(R) Windows(R)XPプリインストール機種

平素は弊社Victor “InterLink”製品をご愛用いただきまして誠にありがとうございます。

標記の件、2005年2月16日(米国時間)に発見されました「W32.Mydoom.AX@mm」に関しまして、2005年2月17日、株式会社シマンテックはSymantec Security Responseを、この脅威の危険度を3として情報公開をおこなっております。
このウイルスの危険性の評価が高く設定されておりますので、早急にウイルス定義ファイルを更新し、ローカルドライブのスキャンを行うなどの対策をしてください。

「W32.Mydoom.AX@mm」は、「Mydoom」の亜種で、大量メール送信/バックドア設置型のワームです。感染すると、コンピュータおよびインターネットからメールアドレスを探し出し、発見したメールアドレスへ独自のメール送信機能を使用して自分自身を添付したメールを送信し感染の拡大を試みます。
同時に「Backdoor.Zincite.A」という名称で検出されるバックドアプログラムを実行してTCPポート1034を開放し、外部から不正アクセスが可能な状態に設定します。さらに特定のWebサイトから「Backdoor.Nemog.D」という名称で検出されるバックドアプログラムをダウンロードして実行しようとします。
また、「userprofile」「yahoo.com」という文字を含む全てのフォルダに対して自分自身の複製を保存し、ネットワーク共有を介しての感染の拡大も試みます。
 
電子メールの件名、本文および添付ファイル名は不定で、差出人は詐称されています。

現在報告されている概要は、下記のようになります。
ウイルスの特徴
1. 種別: ワーム
2. 亜種: 「Mydoom」
3. 別名: W32/Mydoom.bb@MM [McAfee]
4. 差出人:詐称されています。 また、下記のような言葉を差出人アドレスに含むことでメールサーバーやメール管理者からの返信を装うことがあります。
"Postmaster" / "Mail Administrator" / "Automatic Email Delivery Software" /
"Post Office" / "The Post Office" / "Bounced mail" / "Returned mail" /
"MAILER-DAEMON" / "Mail Delivery Subsystem"
5. 件名:以下のうちいずれかになります。
hello / hi / error / status / test / report / delivery failed /
Message could not be delivered / Mail System Error - Returned Mail /
Delivery reports about your e-mail / Returned mail: see transcript for details /
Returned mail: Data format error delivered
6. 本文:サポート担当者からのメッセージを装った英文になります。
7.

添付ファイル名:受信者のメールアドレスまたは以下のうちいずれかになります。拡張子には.bat、.cmd、.com、.exe、.pif、.scrまたは.zipが付きます。
ATTACHMENT / DOCUMENT / FILE / INSTRUCTION / LETTER / MAIL / MESSAGE /
README / TEXT / TRANSCRIPT
* 添付ファイルが .zip ファイルである場合、このファイル内にワームのコピーが含まれます。その際、添付ファイルは zip形式で2度圧縮されていることがあります。

8. 感染すると、ワームは自分自身を%Windir%\java.exeとしてコピーします。
* %Windrv%は可変です。このワームはインストールフォルダを探し出し、その場所に自分自身をコピーします。WindowsXPの標準では、このフォルダはC:\Windowsです。
9. また、以下のファイルがWindowsのインストールフォルダ内に作成されます。
 
services.exe
このファイルは「Backdoor.Zincite.A」として検出されるバックドアプログラムです。
10. 起動時に必ず「W32.Mydoom.AX@mm」が実行されるよう、以下のレジストリキーが追加設定されます。
* 値 : "JavaVM" = "%Windir%\java.exe"
"Services" = "%Windir%\services.exe"
  場所 : 上記値が次のレジストリキーに追加されます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

対処方法
Norton AntiVirus等のウイルス対策ソフトを常駐させ、ウイルス定義ファイルを更新した最新版で、ドライブのスキャンを行なってください。またコンピューターウイルスは日々、新種のウイルスや亜種が出現しますので、ウイルス定義ファイルは常に最新版のものを使用し監視してください。
 
本ウイルスに関する対処方法や既に感染してしまった場合の駆除方法などの詳細情報は下記 Home ページをご参照ください。

株式会社 シマンテック

関連情報
株式会社 シマンテック

(c)Copyright 2005 VICTOR COMPANY OF JAPAN, LIMITED All Rights Reserved.