いや、もう速報とはいえないけど。(発見日 : 2005年2月16日(水))
マイドゥーム・Ax (Worm.Mydoom.Ax)
別名: W32/Mydoom.bb@MM [McAfee]
■影響を受けるシステム
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
■メール添付ファイルから感染する[メール無断送信]ワーム
■かかりやすさは「中」で、警戒が必要です。
■英語のメールに添付されたファイルを実行することで感染します。
■感染すると検索エンジンや、Outlookからメールアドレスを抜き取り、ウイルス付きメールをを送信します。
また、別のウイルス「Backdoor.Surilla.O」をダウンロードします。
■TCPポート1034が開かれ、不正なアクセスを許可してしまう。
■以下の検索エンジンを照会し、戻ってきた結果からメールアドレスを抜き取ります。
http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com
■送信されるメールの形式は以下の通りです。
差出人:感染したパソコンからランダムにメールアドレスを取得、なりすます。
また、送信するメッセージを以下のアドレスからの返信に見せかけ、被害拡大を狙う。
mailer-daemon@(target_domain)
noreply@(target_domain)
postmaster@(target_domain)
この場合以下の表示名が使用される。
"Postmaster"
"Mail Administrator"
"Automatic Email Delivery Software"
"Post Office"
"The Post Office"
"Bounced mail"
"Returned mail"
"MAILER-DAEMON"
"Mail Delivery Subsystem"
件名:以下のいずれかの可能性があります。
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error delivered
本文:以下の可能性があります。
Dear User of [受信者のドメイン名]
We have received reports that your account was used to send a large amount of junk email messages during the week.
Probably, your computer had been compromised and now contains a hidden proxy server.
Please follow the instruction in the attached file in order to keep your computer safe.
Have a nice day,
[受信者のドメイン名] user support team.
添付ファイル:ファイル名は以下のいずれか、もしくはターゲットのメールアドレスを使用する。
README
INSTRUCTION
TRANSCRIPT
MAIL
LETTER
FILE
TEXT
ATTACHMENT
DOCUMENT
MESSAGE
拡張子は以下のいずれかを利用したEXEファイルの可能性。
.EXE
.COM
.SCR
.PIF
.BAT
.CMD
※添付ファイルはZIPファイルにワームのコピーを含めて2度圧縮されている可能性がある。
この場合拡張子は「.ZIP」
ウイルス速報5