「W32/Mytob」ウイルスの亜種に関する情報
最終更新日:2005年 4月12日
更新履歴
2005年 4月12日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)
このウイルスは、メールの添付ファイルを介して感染を拡大します。下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。
また、Windows のセキュリティホールを悪用し、ネットワークに接続されたパソコンに対しても感染活動を行います。
なお、このウイルスは2月28日に出現して以降、次々に新たな亜種が出現していますので、ワクチンソフトの定義ファイルを更新していないと、新しい亜種を発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新して下さい。
影響を受けるシステム
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP
概要
このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。また、Windows のセキュリティホールを悪用し、自身の複製を対象のパソコンにコピーして感染します。
注:セキュリティホールの存在するパソコンでは、ネットワークに接続しているだけで感染する可能性があります。
感染すると、Windows の system ディレクトリに msnmsgr.exe をコピーします。
さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。
メール送信活動:
感染したコンピュータ内のファイルからメールアドレスを収集し、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、本文、添付ファイル名、差出人アドレスは次のようになります。
- 件名: 下記のうちいずれかひとつ
- Error
- Status
- Server Report
- Mail Transaction Failed
- Mail Delivery System
- hello
- hi
- 本文: 下記のうちいずれかひとつ
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- 添付ファイル名: body、message、test、data、file、text、doc、readme、document から選択され、拡張子は、bat、cmd、exe、scr、pif のいずれか。 zip 形式の場合もある。
- 差出人アドレス(From): 詐称されたアドレスになる
ネットワーク感染:
ウイルスは、ランダムに生成した IP アドレスに対して、ポート445に接続し、Windows のセキュリティホール [LSASSの脆弱性(MS04-011)] を悪用して侵入を試みます。成功した場合は、自身のコピーを送り込み感染します。
リモートから操作される:
ウイルスは、IRCの特定のチャンネルに接続します。これにより、外部からのコマンド(命令)を受け付けるようになり、ファイルのダウンロード、実行、削除等がリモートから可能になります。
Hosts ファイルの改ざん:
ウイルスは、Hosts ファイルを改ざんすることにより、ワクチンベンダーなど、セキュリティ関連企業のWebサイトへのアクセスを妨害します。
対応方法
添付ファイルを開くことなく、当該メールをそのまま削除して下さい。
最新の検索エンジンとパターンファイルにアップデートしたワクチンソフトで検査を行い、感染の有無を確認して下さい。発見されたファイルがウイルスそのものであれば、「駆除」できません。その場合は、ファイルを「削除」して下さい。
修復方法
感染してしまった場合の修復方法は、ウイルスファイルの削除の他にレジストリ等の修正が必要となります。
手動による修復方法が下記ワクチンベンダーのサイトに掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。
また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。各ベンダーが記述している「使用上の注意」をよく読み、自己の責任において使用して下さい。
なお、W32/Mytob ウイルスにより下記サイトにアクセスできない場合は、感染していないパソコンで駆除ツールをダウンロードし、FDやUSBメモリ等でコピーして、感染したパソコン上で実行してください。
修復ツール提供サイト
参考情報
ワクチンソフトウェアベンダー提供の情報(日本語)
- コンピュータアソシエイツ:
Win32.Mytob.B :
http://www.casupport.jp/virusinfo/2005/win32_mytob_b.htm - シマンテック:
W32.Mytob.B@mm :
http://www.symantec.com/region/jp/avcenter/venc/data/
jp-w32.mytob.b@mm.html - ソフォス:
W32/Mytob-B :
http://www.sophos.co.jp/virusinfo/analyses/w32mytobb.html - トレンドマイクロ:
WORM_MYTOB.B :
http://www.trendmicro.co.jp/vinfo/virusencyclo/
default5.asp?VName=WORM_MYTOB.B - 日本エフセキュア:
Mytob.B :
http://www.f-secure.co.jp/v-descs/v-descs3/mytobb.htm - マカフィー株式会社:
W32/Mytob.gen@MM :
http://www.mcafeesecurity.com/japan/security/
virM.asp?v=W32/Mytob.gen@MM
ウイルス対策のトップページはこちらをご覧下さい。
更新履歴
| 2005年 4月12日 | 掲載 |
|---|