« 0912-1 パッチの品質と運用部門の躊躇 | トップページ | Beagle A-AQ »

2004.09.18

Mydoom A-Q

以下は発生当時にリアルタイムで書いていたもののダイジェスト版です。
 INDEX
  Mydoom.Q 2004.8.16
  Mydoom.M 2004.7.26
  Mydoom.B 2004.1.29 
  Mydoom.A 2004.1.27

Mydoom.Q 2004.8.16

日本時間2004年8月16日午後、日本、韓国、アメリカで感染報告が確認されました。
私の勤務先でもノートンの対応前にノーチェックで数件飛んできています。

W32.Mydoom.Q@mm (シマンテック:3)発見日 2004年08月16日
WORM_RATOS.A (トレンドマイクロ)

-------------------------------------------------------------------

セキュリティホールメモMLでの経緯
14:41
> 午後に入って加速度的に到着数が増えました。
> 2時間で95通 この1時間で200通弱 合計286通も(>_<)
この段階では各社のウイルス対策ソフトでは検出できていません。
上記の会社は拡張子ブロックでEXEを削除しているので判ったようです。
15:07 
> 当該トロイはトレンドで”WORM_RATOS.A”として解析しています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RATOS.A
15:09
Mydoom.s(マカフィー命名)のようですね。
http://vil.nai.com/vil/content/v_127616.htm
でも英語ページにもページがあるだけで説明はまだです。
15:23 トレンドの説明は・・・
>日本時間2004年8月16日午後、日本、韓国、アメリカで感染報告が確認されました。
>現在、活動内容を解析中です。随時情報を更新してまいりますのでご注意ください。

件名が「photos」のメールに注意,新種ウイルスが流行中 [2004/08/16] 

Mydoom.M 2004.7.26

W32.Mydoom.M@mm (シマンテック:4 )
2004年7月26日 8:29AM (米国時間 GMT-7.0) 発見 日本時間だと7/27 00:29

レベル4です。かなり高い! 当社でのLiveUpdate 対応定義は 2004/07/26 rev23 (この日付は米国時間です)おそらくこれで防げているはずです。
日本語ページは速攻で作ったページの様です。日本語ページ更新時間の記載が無い!
しかし、発見から9時間で何社も日本語ページが出来上がっているってのはすばらしい。
それだけ警戒されているウイルスだということもあるのでしょうが。

メールシステムのエラーおよびスパム警告を装った本文を送付します。

  • TCPポート1034に反応するバックドアを生成します。ポート1034により接続されると、感染コンピュータはアタッカーにより乗っ取られます。
TCP ポート 1034 から Backdoor.Zincite.A として検出されるバックドアプログラムをダウンロードし実行します。 Backdoor.Zincite.A は、侵入先のコンピュータへリモートから不正にアクセスできるようにするバックドアサーバプログラムです。TCP ポート 1034 で実行します。
  • 例えば、xxx@fakedomain.com というアドレスを発見した場合、添付ファイル名には fakedomain.com が含まれます。
  • この亜種はGoogle、Yahoo!など米国の主要検索サイトからメールアドレスを収集する仕組みに・・・

F-Secure ウイルス情報  mydoom.m 0:50に第1報が届いています。早い!
トレンドマイクロ WORM_MYDOOM.M  MCAFee ではまだ翻訳されていませんね。9:20現在

関連記事

マイクロソフト危うし--MyDoomの開けた「裏口」を悪用する新ウイルス登場 (CNET, 7/28)。「MyDoomの亜種出現、Googleなどに影響」「速報」2004/07/27 07:49 更新
MyDoomの新亜種、急速に感染拡大――余波でグーグルなどが利用不能に
2004/07/27 10:00

「@mycompany.com」という文字列で終わるとすると、このワームは主に他のmycompany.comアドレスに感染を拡大しようとする。

だけどただのメールウイルスなんだけどね???

マイクロソフト危うし--MyDoomの開けた「裏口」を悪用する新ウイルス登場
2004/07/28 09:03

Mydoom.B 2004.1.29

W32.Mydoom.B@mm  (シマンテック: )
発見日: 2004年1月28日 (米国時間)
▼ 1/29 9:50 追記
W32/Mydoom.b@MM (NAI) WORM_MYDOOM.B (トレンドマイクロ) W32/MyDoom-B (Sophos) Mydoom.B (F-Secure)

ウイルス対策ソフトだけで安心できる状況は過去のものです。新種はすり抜けて きますから警戒を怠らないでください。特に添付ファイルです。Fセキュアからのメールでは早くも亜種が出たようです。
今翻訳メール(9:25)も届いたところですが。とりあえず英文メール(2:57)の範囲で書きます。-Aに対して強化された点は感染したPCがウイルス対策会社のサイトにアクセスすることを妨害します。つまりオンラインスキャンで確認しようなんてことは出来なくなります。多分。
暗号化されている割には亜種が早すぎること、から同一の犯人によるバージョンアップではないかと。いや、どこにもそんなことは書いてありませんが。
日本語版メールから追記します。
アンチスパム・ツールで使用されているチェック・ロジックをすり抜けようとするそうです。やはりスパム業者との結託が匂いますね。
なんと、この亜種は原種感染PCを探して自分自身にバージョンアップしようとします。ネットワーク上にポート3127に対するポートスキャンが大量に流れるでしょう。もうすぐネット上のニュースでも詳細がわかると思います。
▼ 2/05 追記  Mydoom.Bは思ったほど拡散しませんでした。と言うか不発弾ですね。

Mydoom.A 2004.1.27

07:54 午前 7.代表的なウイルス |

コメント

この記事へのコメントは終了しました。