発見日: January 26, 2004
更新日: February 13, 2007 12:25:34 PM
別名: W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Assoc, W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
種別: Worm
感染サイズ: 22,528 バイト.zip 添付ファイルのファイルサイズは不定
影響を受けるシステム: Windows


2004 年 3 月 30 日、報告件数が減少したため、Symantec Security Response はこの脅威のレベルをカテゴリ 3 からカテゴリ 2 へ引き下げました。

W32.Mydoom.A@mm (W32.Novarg.A としても知られています) は、ファイル拡張子 .bat、.cmd、.exe、.pif、.scr、または .zip を持つ添付ファイルとして届く、大量メール送信ワームです。

コンピューターが感染すると、このワームは TCP ポート 3127 から 3198 を開くことによって、システムにバックドアをセットアップします。これにより、攻撃者がそのコンピューターに接続し、そのネットワークリソースへのアクセスを得るためにそれをプロキシとして使用できる可能性があります。

さらに、このバックドアにより、任意のファイルをダウンロードして実行することが可能です。

このワームに感染したコンピューターは、25% の確率で、マシンのローカルの日時に基づいて、協定世界時 (UTC) の 2004 年 2 月 1 日 16:09:18 (= 太平洋標準時 (PST)の 08:09:18 )にサービス拒否攻撃 (DoS) を開始します。このワームがサービス拒否攻撃 (DoS) を開始した場合には、自分自身の大量メール送信は行いません。またこれは、2004 年 2 月 12 日になると拡散またはサービス拒否攻撃 (DoS) を停止します。このワームは 2004 年 2 月 12 日に停止しますが、バックドアコンポーネントはこの日付以降も機能し続けます。


注意:
  • ワームブロッキング機能を備えている個人のお客様向けシマンテック製品は、この脅威が拡散を試みる際にこの脅威を自動的に検知します。
  • 2004 年 2 月 4 日より前のウイルス定義では、この脅威を W32.Novarg.A@mm として検出します。





W32.Mydoom.A@mm が E メールを送信する際は、次のいずれかの文字列が含まれるドメインへは拡散しません。
  • avp
  • syma
  • icrosof
  • msn.
  • hotmail
  • panda
  • sopho
  • borlan
  • inpris
  • example
  • mydomai
  • nodomai
  • ruslis
  • .gov
  • gov.
  • .mil
  • foo.
  • berkeley
  • unix
  • math
  • bsd
  • mit.e
  • gnu
  • fsf.
  • ibm.com
  • google
  • kernel
  • linux
  • fido
  • usenet
  • iana
  • ietf
  • rfc-ed
  • sendmail
  • arin.
  • ripe.
  • isi.e
  • isc.o
  • secur
  • acketst
  • pgp
  • tanford.e
  • utgers.ed
  • mozilla


    次のいずれかの文字列に一致するアカウント:
  • root
  • info
  • samples
  • postmaster
  • webmaster
  • noone
  • nobody
  • nothing
  • anyone
  • someone
  • your
  • you
  • me
  • bugs
  • rating
  • site
  • contact
  • soft
  • no
  • somebody
  • privacy
  • service
  • help
  • not
  • submit
  • feste
  • ca
  • gold-certs
  • the.bat
  • page


    または、次のいずれかの文字列を含むアカウント:
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • google
  • accoun


またこのワームは、入手したドメイン名へ次のいずれかの名前を先頭に付加します。
  • adam
  • alex
  • alice
  • andrew
  • anna
  • bill
  • bob
  • brenda
  • brent
  • brian
  • claudia
  • dan
  • dave
  • david
  • debby
  • fred
  • george
  • helen
  • jack
  • james
  • jane
  • jerry
  • jim
  • jimmy
  • joe
  • john
  • jose
  • julie
  • kevin
  • leo
  • linda
  • maria
  • mary
  • matt
  • michael
  • mike
  • peter
  • ray
  • robert
  • sam
  • sandra
  • serg
  • smith
  • stan
  • steve
  • ted
  • tom


ウイルス対策日

  • Rapid Release 初回バージョン January 26, 2004
  • Rapid Release 最新バージョン October 05, 2017 リビジョン 038
  • Daily Certified 初回バージョン January 26, 2004
  • Daily Certified 最新バージョン October 06, 2017 リビジョン 003
  • Weekly Certified 初回リリース日 January 26, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Peter Ferrie

発見日: January 26, 2004
更新日: February 13, 2007 12:25:34 PM
別名: W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Assoc, W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
種別: Worm
感染サイズ: 22,528 バイト.zip 添付ファイルのファイルサイズは不定
影響を受けるシステム: Windows


W32.Mydoom.A@mm が実行されると、次のことを行います。

  1. 次のファイルを作成します。
    • %System%\Shimgapi.dll:Shimgapi.dll はプロキシサーバーとして機能し、3127 から 3198 の範囲で TCP 待機ポートを開きます。このバックドアでは、任意のファイルをダウンロードして実行することも可能です。
    • %Temp%\Message:このファイルは、ランダムな文字列を含んでおり、Notepad を使用して表示されます。
    • %System%\Taskmon.exe.


      注意:
    • Taskmon.exe は、Windows 95/98/Me オペレーティングシステムでは正規のファイルですが、%System% フォルダ内ではなく、%Windir% フォルダ内にあります。(デフォルトでは、これは C:\Windows または C:\Winnt です。)%Windir% フォルダ内の正規のファイルを削除しないでください。
    • %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
    • %Temp% は可変です。このワームはテンポラリ (一時) フォルダを探し出し、そのロケーションへ自分自身をコピーします。デフォルトでは、これは C:\Windows\TEMP (Windows 95/98/Me)、または C:\WINNT\Temp (Windows NT/2000)、または C:\Document and Settings\<ユーザー名>\Local Settings\Temp (Windows XP) です。

  2. 次の値を追加します。

    "(Default)" = "%System%\shimgapi.dll"

    次のレジストリキーへ

    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

    これにより、Explorer.exe が Shimgapi.dll をロードするようにします。

  3. 次の値を追加します。

    "TaskMon" = "%System%\taskmon.exe"

    次のレジストリキーへ

    HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    これにより、Windows の起動時に TaskMon が実行されるようにします。

  4. システム日付をチェックし、この日付が 2004 年 2 月 1 日から 2004 年 2 月 12 日までの間にある場合は、25% の確率で、www.sco.com に対してサービス拒否攻撃 (DoS) を行います。このサービス拒否攻撃 (DoS) は、GET 要求を送信しポート 80 へのダイレクト接続を使用する 63 の新しいスレッドを作成することによって行われます。このサービス拒否攻撃 (DoS) がトリガーされた場合には、このワームは自分自身の大量メール送信は行いません。


    注意:
    • このサービス拒否攻撃 (DoS) は、2004 年 2 月 1 日の協定世界時 (UTC) の 16:09:18 (太平洋標準時 (PST) の 08:09:18 ) に開始されます。このワームは、ローカルのシステム日付をチェックして、サービス拒否攻撃 (DoS) を開始するかどうかを判定します。
    • ワームがシステム日付を確認する方法により、サービス拒否攻撃 (DoS) は、感染したコンピューターのうち 25% のみでしか実行されません。
    • サービス拒否攻撃 (DoS) は、最初の感染時にシステム日付がチェックされたとき、またはコンピューターが再起動された場合にのみ行われます。
    • このワームは、サービス拒否攻撃 (DoS) (www.sco.com に対して) で使用されるドメイン名を解決するために、ローカルの DNS 設定を使用します。


  5. 次のレジストリキーを作成します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ComDlg32\Version

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\ComDlg32\Version

  6. 次の拡張子を持つファイル内で E メールアドレスを探します。
    • .htm
    • .sht
    • .php
    • .asp
    • .dbx
    • .tbb
    • .adb
    • .pl
    • .wab
    • .txt

  7. 独自の SMTP エンジンを使用して、E メールメッセージの送信を試みます。ワームは、E メールを送信する前に、受信者が使用するメールサーバーを探します。これに成功しなかった場合は、代わりにローカルのメールサーバーを使用します。送信されるメールには次の特徴があります。

    送信者: The "From" address may be spoofed.

    件名: The subject will be one of the following:
    test
    hi
    hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    Error

    本文: The message will be one of the following:
    Mail transaction failed. Partial message is available.
    The message contains Unicode characters and has been sent as a binary attachment.
    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    test

    添付ファイル: この添付ファイルの名前は、次のいずれかになります (拡張子は含まず)。
    document
    readme
    doc
    text
    file
    data
    test
    message
    body

    この添付ファイルは、1 つまたは 2 つのいずれかのファイル拡張子を持つ可能性があります。拡張子が 2 つである場合は、1 つ目の拡張子は次のいずれかになります。
    .htm
    .txt
    .doc

    2 つ目の拡張子、あるいは拡張子が 1 つのみである場合には、次のいずれかになります。
    .pif
    .scr
    .exe
    .cmd
    .bat
    .zip (これは実際の .zip ファイルであり、.zip ファイルと同じファイル名のワームのコピーを含んでいます。たとえば、readme.zip には readme.exe が含まれています。)

    ワームが拡張子 .exe または .scr を持つ場合には、そのファイルは次のアイコンと共に表示されます。





    その他すべてのファイル拡張子では、そのファイルタイプ用のアイコンを使用します。

  8. 次のいずれかのファイルとして、自分自身を Kazaa ダウンロードフォルダへコピーします。
    • winamp5
    • icq2004-final
    • activation_crack
    • strip-girl-2.0bdcom_patches
    • rootkitXP
    • office_crack
    • nuke2004

      次のいずれかのファイル拡張子が付きます。
    • .pif
    • .scr
    • .bat
    • .exe

Symantec Client Security
  • アンチウイルスコンポーネント: W32.Mydoom.A@mm (または W32.Novarg.A@mm) を防御するための Symantec Client Security アンチウイルスエンジンのアップデートは、LiveUpdate (上記を参照) から入手できます。
  • Symantec Client Firewall:Symantec Client Firewall は、デフォルトのルールセット "High: Block everything until you allow it." でシップされています。これは、バックドア接続の悪用をユーザーに通知し、ウイルス MyDoom (または Novarg) によって開かれた接続の試行に対するルールとして [Permit (許可)]、[Block (ブロック)]、または [Customize (カスタマイズ)] のいずれかにするようユーザーにプロンプトを表示します。

Symantec Gateway Security 1.0
W32.Mydoom.A@mm ワームに対応するために Symantec Gateway Security IDS/IPS エンジンのアップデートが 2004 年 1 月 30 日 9:24 PM 太平洋標準時 (PST) にリリースされました。Symantec Gateway Security の管理者は、LiveUpdate を実行して、この脅威に対する保護が確実になされていることを確認することを推奨します。

Symantec Gateway Security 2.0
W32.Mydoom.A@mm に対応する Symantec Gateway Security IDS/IPS エンジンのアップデートが、2004 年 1 月 29 日 3:02 PM 太平洋標準時 (PST) にリリースされました。Symantec Gateway Security の管理者は、LiveUpdate を実行して、この脅威に対する保護が確実になされていることを確認することを推奨します。

Intruder Alert
シマンテックは、Intruder Alert 3.6 W32_Novarg_Worm Policy (英語) をリリースしました。

Symantec HIDS 4.1.1
シマンテックでは、Symantec HIDS 4.1.1 ユーザーのために、2004 年 1 月 27 日 LiveUpdate パッケージをリリースしました。詳しい情報については、Symantec Host IDS 4.1.1 Security Update 1 (英語) を参照してください。

Symantec ManHunt
W32.Mydoom.A@mm ワームに関連付けられているバックドア動作に特有のシグネチャを提供するために、Security Update 17 がリリースされました。

ManHunt Flow Alert Rulesによるサービス拒否攻撃 (DoS) の検出: Symantec Network IDS チームでは、2004 年 2 月 1 日の SCO Web サイトへのおよび 2004 年 2 月 3 日の Microsoft Web サイトへの 疑わしいトラフィックのイベントをログ記録するために、Flow Alert Rule 機能を使用することを、管理者へ推奨します。詳細な手順については、シマンテックのナレッジベース http://service1.symantec.com/SUPPORT/intrusiondetectkb.nsf/docid/2004012813061253 (英語) を参照してください。

加えて、Symantec ManHunt 2.2/3.0/3.01 をご使用のお客様は、www.sco.com に対するサービス拒否攻撃 (DoS) の試行を検出するために次のシグネチャを適用することができます。このサービス拒否攻撃 (DoS) は、2004 年 2 月 1 日に開始されます。2004 年 2 月 12 日には、ワームは拡散を停止します。このシグネチャは、どのマシンから要求が行われているかを特定するのに役立ちます。

*******************start file********************

alert tcp any any -> any 80 (msg:"W32_Novarg_SCO_DOS"; content:"GET / HTTP/1.1|0d0a|Host: www.sco.com|0d0a0d0a|"; offset:0; dsize:37;)

*************EOF*********************

カスタムシグネチャの作成に関する詳しい情報については、"Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode (英語)" を参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Peter Ferrie

発見日: January 26, 2004
更新日: February 13, 2007 12:25:34 PM
別名: W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Assoc, W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
種別: Worm
感染サイズ: 22,528 バイト.zip 添付ファイルのファイルサイズは不定
影響を受けるシステム: Windows



駆除ツールを使用する駆除
Symantec Security Response では、W32.Mydoom.A@mm の感染を駆除するための 駆除ツール を開発しました。大抵の場合、これが最も推奨される方法です。


手動による駆除
駆除ツールが入手できない場合は、手動で駆除を行います。

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック アンチウイルス製品のお客様を対象にして記述されています。

  1. システムの復元機能を無効にします (Windows Me/XP)。
  2. ウイルス定義を最新版に更新します。
  3. コンピューターをセーフモードまたは VGA モードで再起動します。
  4. システム全体のスキャンを実行し、W32.Mydoom.A@mm として検出されたファイルをすべて削除します。
  5. レジストリに追加された値を削除します。
  6. webcheck.dll ファイルを再登録します。(これにより、Shimgapi.dll のロードを担当するレジストリの変更を削除します。)
具体的な手順については、以下のセクションをご覧ください。

1. システムの復元オプションを無効にする (Windows Me/XP)
Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的に無効にしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。
注意: 駆除作業が完全に終わり、脅威が駆除されたことを確認した時点で、上記のドキュメントに記載の手順を実行することでシステムの復元機能を有効な状態に戻してください。

追加の情報、および Windows Me のシステム復元オプションを無効にするための別の方法については、"Microsoft Knowledge Base article : _RESTORE フォルダにウィルスが発見された場合の対応方法について (Q263455) "" を参照してください。

2. ウイルス定義ファイルを更新する
ウイルス定義ファイルを最新版に更新します。最新版のウイルス定義ファイルは次の 2 通りの方法で入手することができます。
  • LiveUpdate を使用して入手する方法:シマンテックの LiveUpdate サーバーにクライアントやサーバーからアクセスし、ウイルス定義ファイルをダウンロードして自動的に更新を行います。LiveUpdate では、最後に LiveUpdate を実行した後に追加・更新された情報のみがダウンロードされます。このため、ダウンロード時のネットワークトラフィックを最小限に抑えることができます。LiveUpdate のウイルス定義ファイルは、通常は毎週木曜日に定期的に LiveUpdate サーバーにアップロードされます。また、危険度の高いウイルスが発見された場合にも、緊急対応として LiveUpdate サーバーにアップロードされる場合があります。このウイルスへの対応は、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
  • Intelligent Updater を使用して入手する方法:Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することで、そのコンピュータ上のウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日 (日本時間の火曜日~土曜日) に毎日アップロードされます。Intelligent Updater 形式のウイルス定義ファイルは LiveUpdate よりも早いタイミングでアップロードされますが、ベータリリースという位置付けではなく、アップロード前に完全な品質保証テストが行われています。このウイルスへの対応は、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。

    注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。このため、前回からの差分のみをダウンロードする LiveUpdate に比べると、ダウンロードサイズが非常に大きな容量となります。このため、LiveUpdate で定期的にウイルス定義ファイルの更新を行い、疑わしいファイルからウイルスを検知できない場合などに、Intelligent Updater でウイルス定義ファイルを更新することをお薦めします。 Intelligent Updater のウイルス定義ファイルは、こちらからダウンロードすることができます。ダウンロード、インストールする方法に関しては、こちらをご参照ください。

3. コンピューターをセーフモードまたは VGA モードで再起動します

コンピュータをシャットダウンして、電源を落とします。少なくとも 30 秒間待ってから、セーフモードまたは VGA モードでコンピュータを再起動します。
  • Windows 95、98、Me、2000、または XP ユーザーは、コンピューターをセーフモードで再起動します。コンピュータをセーフモードで再起動する方法については、"コンピュータをセーフモードで起動する方法" をご覧ください。
  • Windows NT 4 ユーザーは、コンピューターを VGA モードで再起動します。

4. 感染ファイルを探して削除する
  1. シマンテックのウイルス対策ソフトを起動して、すべてのファイルがスキャン対象として設定されているか確認します。
  2. システム全体のスキャンを実行します。
  3. W32.Mydoom.A@mm に感染しているファイルが検出されたら、[削除] をクリックします。

5. レジストリから値を削除する


警告: システムレジストリに変更を行う際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行うと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず " レジストリのバックアップ方法 " をお読みください。
  1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。([ファイル名を指定して実行] ダイアログボックスが表示されます。)
  2. regedit と入力します。

    その後、[OK] をクリックします。(レジストリエディタが開きます。)

  3. これらの各キーにナビゲートします。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. 画面右側で、次の値を削除します。

    "Taskmon"="%System%\taskmon.exe"


    注意: %System% は可変でシステムフォルダのロケーションを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

  5. レジストリエディタを終了します。

6. Webcheck.dll ファイルを登録する
(これにより、Shimgapi.dll のロードを担当するレジストリの変更を削除します。)
  1. [スタート] ボタンを押し、[ファイル名を指定して実行] をクリックします。([ファイル名を指定して実行] ダイアログボックスが表示されます。)
  2. 次のテキストを入力するか、またはコピー & ペーストします。

    regsvr32 webcheck.dll

  3. [OK] をクリックします。次のメッセージが表示されたら、"DllRegisterServer in webcheck.dll
    succeeded," [OK] をクリックします。


記述: Peter Ferrie