米McAfee，検索エンジンを利用するMydoom亜種「Mydoom.BE」を警告

早坂利之

2005.02.22

　米McAfeeは，電子メールを大量送信するワーム「Mydoom」の亜種「W32/Mydoom.be@MM（Mydoom.BE）」について危険度の評価を「中」に引き上げた。McAfee社が米国時間2月21日に発表したもの。日本と欧州からの感染報告が多く，「1時間ごとに報告件数が倍増している」（同社）。

　Mydoom.BEはファイルを添付した電子メールのかたちで繁殖する。発症するとトロイの木馬「BackDoor-CEB.f」をダウンロードする。感染したマシンの複数のTCPポートを開こうとするほか，主要な検索エンジン（Lycos，AltaVista，Yahoo!，Google）を利用してアドレスを収集する。

　これまでの亜種とは，BackDoor-CEB.fのダウンロードに使うWebサイトが異なるという。ダウンロードに利用するWebサイトは以下の通り。

・http://www.newgenerationcomics.net/banner/（省略）.jpg
・http://www.aartanridge.org.uk/YaBBImages/（省略）.gif
・http://www.eastcoastchoons.co.uk/4play/（省略）.JPG
・http://www.foxalpha.com/charte/（省略）.jpg
・http://www.sundayriders.co.uk/images/（省略）.gif
・http://www.foxalpha.com/charte/（省略）.jpg
・http://www.hooping.org/archives/（省略）.JPG
・http://www.ribaforada.net/banners/（省略）.gif
・ics.net/banner/（省略）.jpg

　Mydoom.BEは，SMTPエンジンを内蔵し，差出人のアドレスを偽装する。以下のアドレスを使用して，宛先不明のエラーに見せかける場合もある。

・mailer-daemon@（ターゲット・ドメイン）
・noreply@（ターゲット・ドメイン）
・postmaster@（ターゲット・ドメイン）

　その場合，以下の表示名が使われる。

・"Postmaster"
・"Mail Administrator"
・"Automatic Email Delivery Software"
・"Post Office"
・"The Post Office"
・"Bounced mail"
・"Returned mail"
・"MAILER-DAEMON"
・"Mail Delivery Subsystem"

　件名には，主に以下の文字列を使用する。

・hello
・hi
・error
・status
・test
・report
・delivery failed
・Message could not be delivered
・Mail System Error -- Returned Mail
- Delivery reports about your e-mail
・Returned mail: see transcript for details
・Returned mail: Data format error

　メッセージ本文は，本体に組み込まれている文字列から作成する。

　Mydoom.BEは，発症すると，Windows Systemディレクトリに自身の複製を作成し，「JAVA.EXE」として自身を組み込む。また「SERVICES.EXE」ファイルを同ディレクトリにインストールする。

　そして，以下のレジストリ・キーを追加する。

・HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run "JavaVM" = %WinDir% JAVA.EXE
・HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run "Services" = %WinDir% SERVICES.EXE
・HKEY_CURRENT_USER Software Microsoft Daemon
・HKEY_LOCAL_MACHINE SOFTWARE Microsoft Daemon