Mytob,W32.Mytob@mm
Symantec が2005年2月26日に発見した,大量のウイルスメールを送信して感染を拡大するワーム型ウイルス。
2005年の2カ月あまりで70種類以上という亜種が登場。
添付ファイルを開くこと感染し,Windows の起動時に自動的に実行されるようにレジストリを書き換え,ローカルファイルから収集したメールアドレスに対して自分自身を添付ファイルとして大量に送信。
また,MS04-011 として公開された LSASS の脆弱性を利用し,ネットワーク経由で TCP 445番ポートから他のマシンへの感染を試みる。
Symantec によれば W32.Spybot.Worm と呼ばれるボット型ウイルスの機能を持ち,特定の IRC サーバーに接続して外部からの命令を待ち,命令を受けると他のプログラムをダウンロードして実行する。
Mytob.J/K
2005年3月23日に発生。
Mytob.L/M/N/O
2005年3月25日に発生。
Mytob.I/P
2005年3月26日に発生。
MS04-011 の脆弱性だけでなく,MS03-026 をも利用する。
Mytob.Q
2005年3月27日に発生。
Mytob.AC/AD/AE
2005年4月9日発生。
Mytob.AE は MS03-026 を悪用して感染を拡大する。
Mytob.AF/AG/AH/AI/AK/AL/AM/AN
2005年4月10日発生。
Mytob.AF/AG/AH は MS03-026 を悪用して感染を拡大する。
WORM.MYTOB.EC
2005年5月9日にトレンドマイクロが警告した,メールで感染を拡大するワーム型ウイルス。
感染すると,Windows のシステムフォルダに WINSVC32.EXE という自分自身のコピーファイルを作成し,レジストリを改変。
インターネット上の IRC サーバーに接続し,外部からワームをコントロールするためのバックドアを開く。
hosts ファイルを改変し,トレンドマイクロやシマンテックなどセキュリティベンダーのサイトへのアクセスを妨げる。
WORM.MYTOB.ED,Mydoom.BO
2005年5月9日にトレンドマイクロが警告した,メールで感染を拡大するワーム型ウイルス。
システムフォルダに 1HELLBOT.EXE という自分自身のコピーファイルを作成し,レジストリを改変。
IRC サーバーにアクセスしてバックドアを開き,hosts ファイルを改変する。
『H-e-l-l-B-o-t-3!!!』というミューテックスを作成し,ウイルス自身のコピーが複数同時に実行されないよう設定する。
MYTOB.EH,WORM_MYTOB.EH
トレンドマイクロが2005年6月13日に警告したワーム型ウイルス。
メールアカウントのパスワード変更や,アカウントそのものの再確認などを求めるウイルスメールで感染を拡大する。
感染するとシステムフォルダに自分自身を“ELITE.EXE”として保存し,システム起動とともに活動を始めるようレジストリなどの設定を改変。
インターネット上の IRC サーバーと接続するバックドアを開き,外部のユーザーが任意のファイルをダウンロード・実行させるたり,システム情報を収集も可能。
hosts ファイルを改変し,セキュリティ関連のサイトを含む55のサイトへのアクセスを妨げ,580のプロセスを強制終了させる
シマンテックでは11日から13日にかけて W32.Mytob.ED@mm,W32.Mytob.EE@mm,W32.Mytob.EF@mm,W32.Mytob.EG@mm と4つの Mytob 亜種を警告している。
トレンドマイクロでは『シマンテックの Mytob.EG が MYTOB.EH に相当するのではないか』としている。
戻る ウイルス,最初のメニュー