1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Mydoom.A@mm
  4. W32.Mydoom.A@mm
  • ブックマーク

W32.Mydoom.A@mm

危険度2: 低

発見日:
2004 年 1 月 26 日
更新日:
2007 年 2 月 13 日 12:25:34 PM
別名:
W32.Novarg.A@mm, W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Assoc, W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
種別:
Worm
感染サイズ:
22,528 バイト.zip 添付ファイルのファイルサイズは不定
影響を受けるシステム:
Windows

2004 年 3 月 30 日、報告件数が減少したため、Symantec Security Response はこの脅威のレベルをカテゴリ 3 からカテゴリ 2 へ引き下げました。

W32.Mydoom.A@mm (W32.Novarg.A としても知られています) は、ファイル拡張子 .bat、.cmd、.exe、.pif、.scr、または .zip を持つ添付ファイルとして届く、大量メール送信ワームです。

コンピューターが感染すると、このワームは TCP ポート 3127 から 3198 を開くことによって、システムにバックドアをセットアップします。これにより、攻撃者がそのコンピューターに接続し、そのネットワークリソースへのアクセスを得るためにそれをプロキシとして使用できる可能性があります。

さらに、このバックドアにより、任意のファイルをダウンロードして実行することが可能です。

このワームに感染したコンピューターは、25% の確率で、マシンのローカルの日時に基づいて、協定世界時 (UTC) の 2004 年 2 月 1 日 16:09:18 (= 太平洋標準時 (PST)の 08:09:18 )にサービス拒否攻撃 (DoS) を開始します。このワームがサービス拒否攻撃 (DoS) を開始した場合には、自分自身の大量メール送信は行いません。またこれは、2004 年 2 月 12 日になると拡散またはサービス拒否攻撃 (DoS) を停止します。このワームは 2004 年 2 月 12 日に停止しますが、バックドアコンポーネントはこの日付以降も機能し続けます。


注意:
  • ワームブロッキング機能を備えている個人のお客様向けシマンテック製品は、この脅威が拡散を試みる際にこの脅威を自動的に検知します。
  • 2004 年 2 月 4 日より前のウイルス定義では、この脅威を W32.Novarg.A@mm として検出します。





W32.Mydoom.A@mm が E メールを送信する際は、次のいずれかの文字列が含まれるドメインへは拡散しません。
  • avp
  • syma
  • icrosof
  • msn.
  • hotmail
  • panda
  • sopho
  • borlan
  • inpris
  • example
  • mydomai
  • nodomai
  • ruslis
  • .gov
  • gov.
  • .mil
  • foo.
  • berkeley
  • unix
  • math
  • bsd
  • mit.e
  • gnu
  • fsf.
  • ibm.com
  • google
  • kernel
  • linux
  • fido
  • usenet
  • iana
  • ietf
  • rfc-ed
  • sendmail
  • arin.
  • ripe.
  • isi.e
  • isc.o
  • secur
  • acketst
  • pgp
  • tanford.e
  • utgers.ed
  • mozilla


    次のいずれかの文字列に一致するアカウント:
  • root
  • info
  • samples
  • postmaster
  • webmaster
  • noone
  • nobody
  • nothing
  • anyone
  • someone
  • your
  • you
  • me
  • bugs
  • rating
  • site
  • contact
  • soft
  • no
  • somebody
  • privacy
  • service
  • help
  • not
  • submit
  • feste
  • ca
  • gold-certs
  • the.bat
  • page


    または、次のいずれかの文字列を含むアカウント:
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • certific
  • google
  • accoun


またこのワームは、入手したドメイン名へ次のいずれかの名前を先頭に付加します。
  • adam
  • alex
  • alice
  • andrew
  • anna
  • bill
  • bob
  • brenda
  • brent
  • brian
  • claudia
  • dan
  • dave
  • david
  • debby
  • fred
  • george
  • helen
  • jack
  • james
  • jane
  • jerry
  • jim
  • jimmy
  • joe
  • john
  • jose
  • julie
  • kevin
  • leo
  • linda
  • maria
  • mary
  • matt
  • michael
  • mike
  • peter
  • ray
  • robert
  • sam
  • sandra
  • serg
  • smith
  • stan
  • steve
  • ted
  • tom


ウイルス対策日

  • Rapid Release 初回バージョン2004 年 1 月 26 日
  • Rapid Release 最新バージョン2017 年 10 月 5 日 リビジョン038
  • Daily Certified 初回バージョン2004 年 1 月 26 日
  • Daily Certified 最新バージョン2017 年 10 月 6 日 リビジョン003
  • Weekly Certified 初回リリース日2004 年 1 月 26 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。
記述:Peter Ferrie
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube