MIMAIL
2003年8月5日に警告されたウイルス,破壊的なコードは含んでいない。
ネットワーク管理者からのメールを装い,zip ファイルを添付したものとして到着。
IE の Object Tag code base exploit(MS02-015)と,OE の MHTML exploit(MS03-014)という2つの脆弱性を悪用し,感染すると IE のテンポラリーフォルダに foo.exe を作成する,Windowsディレクトリに videodrv.exe(ウイルス自身),exe.tmp,zip.tmp」というファイルを作成。
ウィンドウズの起動時に自動実行するようレジストリを書き換える。
MHTML exploit 脆弱性のパッチを適用しておけば,ウイルスが自動的に実行されることはない。
この存在が判明した当初,多くのセキュリティアナリストは,これこそが予期していた大規模な攻撃だと思い,米国土安全保障省や米財務省検察局を含む一部の米政府機関では1日午後,被害を恐れた管理者が,インターネット接続を断つといった反応すら引き起こした。
この亜種には,ペイパル社からの警告メッセージを装い,感染したコンピューターから有名なスパム対策ウェブサイト複数へ DoS 攻撃を行なうものもある。
MIMAIL.C
MIMAIL の亜種で2003年10月31日に発見された,独自の SMTP を利用して大量メール送信を行なうウイルス。
脆弱性を攻撃しない。
感染すると,Windows フォルダに Netwatch.exe というファイルを作成。
レジストリキーに "NetWatch32" = "%Windir%\netwatch.exe" を追加し,起動時にワームが実行されるように設定。
dll,exe,jpg などの拡張子以外のファイルからメールアドレスを抽出し,独自の SMTP を利用して自分自身のコピーを送信。
また,4つの Web サイトに DoS 攻撃を行なう。
この際に,ポート80番に大量のパケットを送信するため,Web サイトの閲覧などが遅くなる可能性がある。
独自の SMTP エンジンを内蔵しており,感染した PC からメールアドレスを抽出し,ZIP 形式の添付ファイルとして自分自身を送信する。
また,特定の Web サイトに対して DoS 攻撃を仕掛ける。
Mimail-E/H
スパムメール対策サイトなどへ攻撃を仕掛けるワーム。
Mimail.I/J
Mimail の亜種。
PayPal からのメールを装い,クレジットカード番号を含む個人情報の入力を促して添付ファイルを開かせ,ウイルスに感染させるとともに個人情報を窃取する。
MIMAIL.S
マイクロソフトのライセンス認証画面 Windows Expiration Notification を偽装して,クレジットカード情報を盗むウイルス。
メールの件名や添付ファイル名は可変。
感染すると,Windows フォルダに rabbit.exe というファイルを作成し,レジストリを改変。
C:\ や C:\Program Files\,Application Data Folder などのフォルダ内のファイルからメールアドレスを抽出し,独自の SMTP で自分自身コピーを送信。
また,www.google.com に定期的に IP アドレスを問い合わせることで,ネットワークの状態も確認する。
盗まれたカード情報は C:\xx 形式の名前が付いたファイルに一時的に保存されたあと,ウイルス本体内の mail15.com と ziplip.com というドメイン名のメールアドレスに送信する。
Windows 98/98/Me/NT/2000/XP に感染。
戻る ウイルス,最初のメニュー