コンピュータウイルスについて　WORM

史上最悪のメールワーム「Mydoom」にご注意下さい

日本エフ・セキュアが、1月26日に発見されたメールワーム「Mydoom」が、昨年大規模に流行した「Sobig.F」を越え史上最悪のメールワームとなった、と発表しました。Mydoom は大量メール送信型のワームです。本ワームは、拡張子が .bat、.cmd、.exe、.pif、.scr または .zip の添付ファイルとして届きます。

アメリカ合衆国のビジネス時間帯に発見されたため、幾つかの大企業が即座に感染した事、送信メールのシステムエラーメッセージのように見せかけるためクリックしやすい、添付ファイルにZIP圧縮されているものがあるため安全に見えやすい、アドレスを生成するためスパムチェッカをすり抜けてしまう事が史上最悪に感染した原因であるだろうと考えられています。

このウイルスは、自身の複製をメールの添付ファイルとして拡散する活動を行います。また、Kazaa（P2Pソフト）を介しても感染を拡げます。感染すると、Windows の system ディレクトリに taskmon.exe とshimgapi.dll をコピーします。さらに、レジストリファイルを変更することによって、Windows の起動時に必ずウイルスが実行されるように設定します。これにより、ハッカーが感染したコンピュータへ接続すること、そしてハッカーが感染したコンピュータをプロキシとして利用し（コンピュータの接続されている）ネットワークリソースへアクセスすることを許可し、任意のファイルをダウンロードし実行することが可能になります。

下記概要に示すようなメールを受け取った場合は、添付ファイルを決してダブルクリックすることなく、メールごと削除して下さい。また、適切な予防策を講じてウイルスに感染しないよう、十分ご注意ください。

「情報処理振興事業協会セキュリティセンター(IPA/ISEC)」、「日本コンピュータセキュリティ協会」で詳細が案内されています。掲載情報は状況に応じて更新されますので、定期的に参照されることをお勧めします。

■Mydoom(マイドゥーム)
別名　W32/Mydoom, Novarg,W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]

▽対象OS
・ Windows 95
・ Windows 98
・ Windows Me
・ Windows NT
・ Windows 2000
・ Windows XP
・ Windows Server 2003

▽メール送信活動
感染したコンピュータ内のファイルからメールアドレスを収集し、取得できたアドレス宛にウイルスメールを送信します。
メールの件名、本文、差出人アドレス、添付ファイルは次のようになります。

・差出人: コンピュータから取得できたアドレス

・件名：（以下の候補のいずれかを選択）
　　test
　　 hi
　　hello
　　Mail Delivery System
　　Mail Transaction Failed
　　Server Report
　　Status
　　Error
・本文：（以下の候補のいずれかを選択）
　　"test"
　　"The message contains Unicode characters and has been sent as a binary attachment."
　　"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
　　"Mail transaction failed. Partial message is available."

・添付ファイル：ランダムなアルファベット
　　document
　　readme
　　doc
　　text
　　file
　　data
　　test
　　message
　　body

▽Dos攻撃
�
2004年2月1日になると、「sco.com」に対してサービス妨害攻撃を開始します。
ただし、2004年2月12日になると、サービス妨害攻撃および感染活動を停止します。

▽詳細情報
マイクロソフト社：「Mydoomに関する情報」

▽駆除ツール・駆除方法マニュアル
シマンテック社：「W32.Novarg.A@mm / W32.Mydoom.B@mm 駆除ツール」

■コンピュータウイルスにご注意ください

『W32/Bugbear』や『W32/Klez』などのOutlookExpressのセキュリティホールをついたコンピュータウイルスが広く
蔓延しております。これらウイルスは、WindowsOS の環境において、メールをプレビューしただけでウイルスが動作しま
す。感染すると、気づかぬうちにアドレス帳に登録してあるアドレスなどに対してウイルスメールを自動送信します。修
正パッチを当てる、Outlook Express の場合、「表示」メニューの「レイアウト」を選択して「プレビューウィンドウを
表示する」のチェックを外し、自動的にプレビューされないようすることを推奨致します（プレビューできる状態ですと、
上記のウイルスの場合、削除しようとしてメールを選択しただけでも感染してしまいます）。また、記憶にないアドレス
からのメールや、たとえ知人からであっても、おかしな英文がタイトルがついたメールが来た場合、開かずに削除するか
別途確認を取ることをお勧めします。

「情報処理振興事業協会セキュリティセンター(IPA/ISEC)」
http://www.ipa.go.jp/security/
「日本コンピュータセキュリティ協会」
http://www.jcsa.or.jp/