はてな
Yahoo
Google
Livedoor
Twitter
Facebook
- 発見日:
- 2004 年 1 月 26 日
- 更新日:
- 2007 年 2 月 13 日 12:25:34 PM
- 別名:
- W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Assoc, W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
- 種別:
- Worm
- 感染サイズ:
- 22,528 バイト.zip 添付ファイルのファイルサイズは不定
- 影響を受けるシステム:
- Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
2004 年 3 月 30 日、報告件数が減少したため、Symantec Security Response はこの脅威のレベルをカテゴリ 3 からカテゴリ 2 へ引き下げました。
W32.Mydoom.A@mm (W32.Novarg.A としても知られています) は、ファイル拡張子 .bat、.cmd、.exe、.pif、.scr、または .zip を持つ添付ファイルとして届く、大量メール送信ワームです。
コンピューターが感染すると、このワームは TCP ポート 3127 から 3198 を開くことによって、システムにバックドアをセットアップします。これにより、攻撃者がそのコンピューターに接続し、そのネットワークリソースへのアクセスを得るためにそれをプロキシとして使用できる可能性があります。
さらに、このバックドアにより、任意のファイルをダウンロードして実行することが可能です。
このワームに感染したコンピューターは、25% の確率で、マシンのローカルの日時に基づいて、協定世界時 (UTC) の 2004 年 2 月 1 日 16:09:18 (= 太平洋標準時 (PST)の 08:09:18 )にサービス拒否攻撃 (DoS) を開始します。このワームがサービス拒否攻撃 (DoS) を開始した場合には、自分自身の大量メール送信は行いません。またこれは、2004 年 2 月 12 日になると拡散またはサービス拒否攻撃 (DoS) を停止します。このワームは 2004 年 2 月 12 日に停止しますが、バックドアコンポーネントはこの日付以降も機能し続けます。
注意:
- ワームブロッキング機能を備えている個人のお客様向けシマンテック製品は、この脅威が拡散を試みる際にこの脅威を自動的に検知します。
- 2004 年 2 月 4 日より前のウイルス定義では、この脅威を W32.Novarg.A@mm として検出します。
W32.Mydoom.A@mm が E メールを送信する際は、次のいずれかの文字列が含まれるドメインへは拡散しません。
- avp
- syma
- icrosof
- msn.
- hotmail
- panda
- sopho
- borlan
- inpris
- example
- mydomai
- nodomai
- ruslis
- .gov
- gov.
- .mil
- foo.
- berkeley
- unix
- math
- bsd
- mit.e
- gnu
- fsf.
- ibm.com
- kernel
- linux
- fido
- usenet
- iana
- ietf
- rfc-ed
- sendmail
- arin.
- ripe.
- isi.e
- isc.o
- secur
- acketst
- pgp
- tanford.e
- utgers.ed
- mozilla
次のいずれかの文字列に一致するアカウント:
- root
- info
- samples
- postmaster
- webmaster
- noone
- nobody
- nothing
- anyone
- someone
- your
- you
- me
- bugs
- rating
- site
- contact
- soft
- no
- somebody
- privacy
- service
- help
- not
- submit
- feste
- ca
- gold-certs
- the.bat
- page
または、次のいずれかの文字列を含むアカウント:
- admin
- icrosoft
- support
- ntivi
- unix
- bsd
- linux
- listserv
- certific
- accoun
またこのワームは、入手したドメイン名へ次のいずれかの名前を先頭に付加します。
- adam
- alex
- alice
- andrew
- anna
- bill
- bob
- brenda
- brent
- brian
- claudia
- dan
- dave
- david
- debby
- fred
- george
- helen
- jack
- james
- jane
- jerry
- jim
- jimmy
- joe
- john
- jose
- julie
- kevin
- leo
- linda
- maria
- mary
- matt
- michael
- mike
- peter
- ray
- robert
- sam
- sandra
- serg
- smith
- stan
- steve
- ted
- tom
ウイルス対策日
- Rapid Release 初回バージョン2004 年 1 月 26 日
- Rapid Release 最新バージョン2012 年 4 月 2 日 リビジョン005
- Daily Certified 初回バージョン2004 年 1 月 26 日
- Daily Certified 最新バージョン2012 年 4 月 3 日 リビジョン022
- Weekly Certified 初回リリース日2004 年 1 月 26 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。
危険性の評価
被害状況
- 被害レベル:Low
- 感染台数:More than 1000
- 感染報告数:More than 10
- 地域危険度:High
- 対処レベル:Easy
- 駆除:Moderate
ダメージ
- ダメージレベル:Medium
- 大量メール送信:指定されたファイルのセット内で見付かった E メールアドレスへ E メールを送信する。
- パフォーマンスの低下:www.sco.com に対してサービス拒否攻撃 (DoS) を行う。
- 不正アクセス:不正なリモートアクセスを可能にする。
感染力
- 感染力レベル:High
- メール件名:不定
- 添付ファイル:不定。拡張子は .pif、.scr、.exe、.cmd、.bat、または .zip。
- 添付ファイルのサイズ:22,528 バイト (.zip フォーマットである場合は不定)
- ポート:TCP 3127 から 3198
記述:Peter Ferrie
