説明

I-Worm.Mimail です。Mimail は感染電子メールを経由して拡散するインターネット ワームです。 当該ワームはビルト イン SMTP エンジンを使用します。
感染メッセージには以下のような特徴があります:
送信者: admin@%偽装メールアドレス% です。 %偽装メールアドレス% は毎回異なります。 件名: your account %rnd str% です。 %rnd str% は毎回異なります。
本文: Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. --- Best regards, Administrator ---
添付ファイル: message.zip は "message.html" ファイルです。 この HTML ファイルはワームのコピー FOO.EXE ファイルを "Downloaded Program Files" ディレクトリに投下し作動します。 (この行動を実行するため当該ワームは Internet Explorer の脆弱性を利用します: Java スクリプトが HTML ファイルの中でプロンプト無しでディスク ファイルにアクセスするのを可能にします。) 当該ワームは自身を Windows ディレクトリにファイル名 "videodrv.exe" としてコピーし、このファイルをシステム レジストリの以下のオートランキーに登録します: HKLMSoftwareMicrosoftWindowsCurrentVersionRun VideoDriver = %WinDir%videodrv.exe 当該ワームは以下のファイルを Windows ディレクトリに生成します: exe.tmp - HTML ファイルに含まれるワームです。 zip.tmp - ZIP アーカイブ (method "stored" - 非圧縮) にある HTML ファイルです。 eml.tmp - 感染マシンで収集した電子メールのリストです (当該ワームは独自のルーチンをサポートした ZIP ファイル フォーマットを使用します)。

削除方法

RegRun Startup Optimizer を使用してスタートアップから削除してください。

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/14 (Tue)