情報処理推進機構：情報セキュリティ：「W32/Mydoom」ウイルスに関する情報

情報セキュリティ

「W32/Mydoom」（別名：Novarg）ウイルスに関する情報

最終更新日：2004年 1月29日
更新履歴

2004年 1月27日
独立行政法人情報処理推進機構
セキュリティセンター(IPA/ISEC)

このウイルスは、メールの添付ファイルを介して感染を拡大します。下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
なお、このウイルスは1月27日に出現していますので、それ以降にワクチンソフトの定義ファイルを更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新して下さい。

>> ワクチンソフトに関する情報

マイクロソフト社からの情報
Mydoomに関する情報
http://www.microsoft.com/japan/technet/security/virus/mydoom.asp

影響を受けるシステム

Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000,
Windows XP

概要

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。また、Kazaa（P2Pソフトウェア）を介しても感染を拡げます。

感染すると、Windows の system ディレクトリに taskmon.exe と shimgapi.dll をコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。

メール送信活動：

感染したコンピュータ内のファイルからメールアドレスを収集し、取得できたアドレス宛にウイルスメールを送信します。

メールの件名、本文、差出人アドレス、添付ファイルは次のようになります。

件名：（以下の候補のいずれかを選択）
　　　　　Error
　　　　　Status
　　　　　Server Report
　　　　　Mail Transaction Failed
　　　　　Mail Delivery System
　　　　　hello
　　　　　hi
　　　　　[ 任意の文字列 ]
本文：（以下の候補のいずれかを選択）
　　　　　"test"
　　　　　"The message contains Unicode characters and has been sent
　　　　　as a binary attachment."
　　　　　"The message cannot be represented in 7-bit ASCII encoding
　　　　　and has been sent as a binary attachment."
　　　　　"Mail transaction failed. Partial message is available."
　　　　　[ 任意の文字列 ]
　　　　　[ 空白 ]
差出人アドレス（From）：　コンピュータから取得できたアドレス
添付ファイル名：　ランダムなアルファベット

DoS攻撃：
2004年2月1日になると、「sco.com」に対してサービス妨害攻撃を開始します。
ただし、2004年2月12日になると、サービス妨害攻撃および感染活動を停止します。

対応方法

添付ファイルを開くことなく、当該メールをそのまま削除して下さい。

最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」して下さい。

修復方法

感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。
手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。

修復ツール提供サイト

トレンドマイクロ：
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
日本ネットワークアソシエイツ：
http://www.nai.com/japan/security/stinger.asp
シマンテック：
http://www.symantec.com/region/jp/sarcj/data/w/
w32.novarg.a@mm.removal.tool.html

参考情報

ワクチンソフトウェアベンダー提供の情報（日本語）

アンラボ：
Win32/Mydoom.worm.22528: http://japan.ahnlab.com/virusinfo/view.asp?seq=788
コンピュータアソシエイツ：
Win32.Mydoom.A : http://www.caj.co.jp/virusinfo/2004/win32_mydoom_a.htm
シマンテック：
W32.Novarg.A@mm : http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.html
ソフォス：
W32/MyDoom-A : http://www.sophos.co.jp/virusinfo/analyses/w32mydooma.html
トレンドマイクロ：
WORM_MIMAIL.R : http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_MIMAIL.R
日本エフセキュア：
Mydoom : http://www.f-secure.co.jp/v-descs/v-descs3/Mydoom.html
日本ネットワークアソシエイツ：
W32/Mydoom@MM : http://www.nai.com/japan/security/virM.asp?v=W32/Mydoom@MM

ウイルス対策のトップページはこちらをご覧下さい。

更新履歴

2004年 1月29日	リンク追加。概要を追記。
2004年 1月27日	掲載

ページトップへ