I-Worm.Mimail です。Mimail は感染電子メールを経由して拡散するインターネット ワームです。 当該ワームはビルト イン SMTP エンジンを使用します。
感染メッセージには以下のような特徴があります:
送信者: admin@%偽装メールアドレス% です。 %偽装メールアドレス% は毎回異なります。 件名: your account %rnd str% です。 %rnd str% は毎回異なります。
本文: Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator ---
添付ファイル: message.zip は \"message.html\" ファイルです。 この HTML ファイルはワームのコピー FOO.EXE ファイルを \"Downloaded Program Files\" ディレクトリに投下し作動します。 (この行動を実行するため当該ワームは Internet Explorer の脆弱性を利用します: Java スクリプトが HTML ファイルの中でプロンプト無しでディスク ファイルにアクセスするのを可能にします。) 当該ワームは自身を Windows ディレクトリにファイル名 \"videodrv.exe\" としてコピーし、このファイルをシステム レジストリの以下のオートランキーに登録します: HKLMSoftwareMicrosoftWindowsCurrentVersionRun VideoDriver = %WinDir%videodrv.exe 当該ワームは以下のファイルを Windows ディレクトリに生成します: exe.tmp - HTML ファイルに含まれるワームです。 zip.tmp - ZIP アーカイブ (method \"stored\" - 非圧縮) にある HTML ファイルです。 eml.tmp - 感染マシンで収集した電子メールのリストです (当該ワームは独自のルーチンをサポートした ZIP ファイル フォーマットを使用します)。