Mydoom に関する情報
最終更新日: 1月 27, 2004 | Updated : 7月 27, 2004
トピック
はじめに
| Mydoom の亜種が再び猛威を振るっています 7 月 26 日以降、Mydoom の亜種である、Mydoom.M が報告されています。このウイルスは差出人を詐称してウイルスつきのメールを送信するため、たとえ知人からのメールであっても添付ファイルにアクセスする際は、厳重な注意が必要です。 本亜種の感染方法が元のウイルスと同じ事から、過去に対策を行われた場合はこのウイルスの対策を別途行う必要がありません。もし対策を行われていない場合は、本ウイルスへの対策をご確認のうえ対策をしてください。 |
| Mydoom に感染したコンピュータに感染するウイルスが発見されました 2 月 10 日以降、Doomjuice (ドゥームジュース) ウイルスが報告されています(別名に Mydoom.C 等があります)。このウイルスは、Mydoom.A に感染しているコンピュータに対して感染します。Doomjuice ウイルスは Mydoom のようなメールに添付されるウイルスではなく、ネットワーク経由で感染活動を行います。Doomjuice ウイルスに感染すると、他のコンピュータに対し感染を広げようと感染活動を行い、さらに、感染したコンピュータは、microsoft.com へサービス拒否攻撃を行いネットワークのパフォーマンスが低下します。なお、Mydoom に感染していないコンピュータは Doomjuice ウイルスに感染することはありません。Doomjuice ウイルスに感染した場合は、Mydoom と同じ復旧方法により駆除することができます。 |
Mydoom (マイドゥーム) と呼ばれるウイルスやその亜種が報告されています。 (別名に W32.Novarg.A@mm、WORM_MYDOOM.A、W32/Mydoom@MM、WORM_MYDOOM.B、W32.Mydoom.B@mm、W32/Mydoom.b@MM 等があります) **新たな亜種は、microsoft.com サイトを含む幾つかのサイトへのアクセスを妨害する可能性があります。**この亜種に関する予防策においては、オリジナルの Mydoom と同じです。
このウイルスは以下の方法で感染を広げていくことが判明しています。
- E-Mailによる感染、拡大
本ウイルスは、製品の脆弱性を悪用したウイルスではございません。このウイルスから送信されたメールは、電子メールの送信エラーなどに見せかけることがあり注意が必要です。
本ウイルスはメールを受け取ったり、開いたりするだけで自動的に感染するということは無く、添付されているファイルを実行することにより感染いたします。誤って添付のファイルを実行いたしますと、自分自身をディスク上にコピーし、コンピューター内の様々なファイルからメールアドレスを取得し、大量のメールを送信します。
感染すると、大量のメールが送信されるためネットワークが遅くなるなどの症状があります。また、マイクロソフトの Web サイトや、ウイルス対策ベンダー様のサイトへのアクセスを妨害することがあります。その他にも、マイクロソフトの Web サーバーやその他の Web サーバーに対してサービス拒否の攻撃を行う可能性があります。
送信されるメールは、下記の形式になっています。
送信者 : (詐称されてます)
件名 : (次の中からランダムに選択されます)
Server Report
Mail Delivery System
status
hello
HELLO
Hi
test
Test
Mail Transaction Failed
Server Request
Error
Returned mail
Delivery Error
本文 : (次の中からランダムに選択されます)
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available. Test, yep.
Mail transaction failed. Partial message is available.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
添付ファイル : 添付ファイル名はランダムに生成され、拡張子 pif, scr, exe, cmd, bat, または zip が付きます。
注意 メールに添付されている実行可能なファイルは、ウイルスの可能性があります。 このウイルスのように差出人を騙り知人などに見せかけるものもございます。メールに添付されている実行可能なファイルは、開かないようご注意ください。
また、以下の Web サイトにて本ウイルスに関する情報が公開されておりますので併せてご参照ください。
株式会社シマンテック
トレンドマイクロ株式会社
マカフィー株式会社
.gif)
本ウイルスへの対策につきましては、本ウイルスへの対策をご確認ください。
本ウイルスへの対策
Outlook および Outlook Express で本ウイルスの対策を行うには
本ワームは、Outlook のソフトウェアの不具合を利用したものではありません。従来のワームと同様に添付ファイルとしてメールで送られてきます。そのため、上記ファイルの添付されているメールの削除をお願いします。このファイルをお客様が実行しない限り問題になることはありません。
Outlook 2000 をお使いのお客様へ
Outlook 2000 は、電子メール セキュリティ アップデートを行っていただくことで、本ワームの実行を防止できます。 電子メール セキュリティ アップデートをご利用いただくには、Office 2000 Service Release 1(SR-1) を最初に適用していただく必要がございます。以下にご紹介します、Outlook 2000 SR-1 アップデート: 電子メール セキュリティのページをご覧ください。
電子メール セキュリティ アップデート (更新版) は、Office Service Pack 2 以降に公開されたため、Office 2000 Service Pack 2 には含まれていない修正が含まれております。以前の電子メール セキュリティ アップデート、または Office 2000 Service Pack 2 を適用されているお客様につきましても、必須ではございませんが適用をお勧めいたします。
Outlook 2002 (Office XP)/ Outlook 2003 (Office 2003) をお使いのお客様へ
Outlook 2002 (Office XP)/ Outlook 2003 (Office 2003) は、標準の状態で本ワームの実行を防止する機能があるため特にアップデートを行っていただく必要はございません。しかし、この機会にお客様の安全を守るためのアップデートの適用をご検討ください。
Outlook Express 6 をお使いのお客様へ
Outlook Express 6 では、ワーム防止方法を使用することによって、本ワームの実行を防止できます。下記の弊社サポート技術情報(KB)をご覧ください。
- 291387: Outlook Express 6 のワーム防止機能を使用する方法 https://support.microsoft.com/kb/;291387
アップデート モジュール入手先
マイクロソフトが提供しているダウンロードサーバーから必要となるモジュールを入手する形でインストールを実施します。
Microsoft Office 2000 Service Pack 3 https://www.microsoft.com/japan/office/downloads/office2000sp3/
Outlook 2002 アップデート: 2003 年 1 月 22 日 https://support.microsoft.com/kb/812262
Outlook 2000 SR-1 アップデート: 電子メール セキュリティ https://office.microsoft.com/japan/downloads/2000/out2ksec.aspx
ISA Server で Mydoom ワームのトラフィックを防ぐ
Microsoft Internet Security and Acceleration (ISA) Server 2000 を使用して、Mydoom とその亜種によって作り出された悪意のあるトラフィックをブロックし、内部ネットワーク上のコンピュータを二次感染から可能な限り予防します。詳細については、ISA Server で MyDoom のトラフィックをブロックする方法をご覧ください。
復旧方法
最新の亜種である Mydoom.M の復旧方法について
以下の対策は Mydoom.A 、Mydoom.B および Doomjuice ウイルスの復旧方法になり、最新の亜種である Mydoom.M の復旧方法ではありません。ウイルスに感染した可能性のあるお客様は、現在利用しているウイルス対策ベンダー様のサイトより復旧してください。
|
コンピュータが Mydoom または Doomjuice ウイルスに感染した場合、ウイルス駆除ツールを使うことによって駆除することができます。
MyDoom (A,B) and DoomJuice.A Worm 駆除ツール
注意 : 本ツールは英語版ですが、日本語環境でも動作可能です。詳細はサポート技術情報 836528 をご覧下さい。
注意 : 2005 年 2 月 8 日、マイクロソフトは MyDoom (A,B) and DoomJuice.A Worm 駆除ツールを Microsoft Windows 悪意のあるソフトウェアの削除ツールに置き換えました。 悪意のあるソフトウェアの削除ツールの関連情報を参照するには、こちらをクリックしてください。
マイクロソフト製品サポート サービス、または、ウイルス対策ソフトウェア ベンダに連絡し、このウイルスの駆除に関するサポートを受けてください。また、ウイルス対策ソフトベンダー様が提供しているツールを利用することにより、ウイルスを駆除することができます。ツールの使い方については各ウイルス対策ベンダー様にお問い合わせください。
株式会社シマンテック W32.Novarg.A@mm 駆除ツール
トレンドマイクロ株式会社 トレンドマイクロ ダメージクリーンナップサービス
日本ネットワークアソシエイツ株式会社 AVERTウイルス駆除ツール
MyDoom の亜種の感染によって、ウイルス対策ソフトウェアベンダまたは support.microsoft.com、windowsupdate.microsoft.com などのマイクロソフトの Web サイトにアクセスできなくなる可能性があります。このような現象が発生した場合、以下の手順を手動で行うことで、各 Web サイトへのアクセスが行えるようになります。
[スタート] ボタンをクリックします。
[ファイル名を指定して実行] で cmd と入力します。
コマンド プロンプトが開始されます。
次のコマンドを入力します。
del /F %systemroot%\system32\drivers\etc\hostsEnter キーを押します。
次のコマンドを入力します。
echo # Temporary HOSTS file >%systemroot%\system32\drivers\etc\hostsEnter キーを押します。
次のコマンドを入力します。
attrib +R %systemroot%\system32\drivers\etc\hostsEnter キーを押します。
Windows NT では、これらのコマンドの入力後、コンピュータを再起動する必要があります。
Windows 2000、Windows XP および Windows 2003 では、コンピュータを再起動する必要はありません。その代わり、以下のコマンドを入力する必要があります。
ipconfig /flushdns