TRIN-2004-01
W32/Novarg.A ウイルス

W32/Novarg.A, W32/Shimg, W32/Mydoom と呼ばれ、大量に電子メールを配信して感染活動を行うワームについての情報です。

日時 (JST)	内容
2004-01-26 (米国日付)	アンラボ Win32/Mydoom.worm.22528(1) を確認日本エフセキュア Mydoom(1) を確認マカフィー W32/Mydoom@MM(1) を確認シマンテック W32.Novarg.A@mm(1) を確認トレンドマイクロ WORM_MIMAIL.R(*1) を確認 #Binding-Port: 3127 ～ 3198
2004-01-26 (米国日付)	US-CERT Current Activity として W32/Mydoom or W32/Novarg を報告
2004-01-27 09:00	ISSKK MyDoom に関連性が高いと考えられる Email_Virus_Double_Extention イベントの急増を確認
2004-01-27 11:33	@Police Novarg（Mydoom、MIMAIL.R）ウイルスの蔓延についてを Web 公開 #Last-Modified: Tue, 27 Jan 2004 02:33:23 GMT
2004-01-27 AM	SecurityFocus ThreatCON ? => ?
2004-01-27 PM	ISS AlertCon ? => ?
2004-01-27	マイクロソフト Mydoom に関する情報を Web 公開
2004-01-27 14:12	ISSKK 大量に電子メールを配信する MyDoom ワームを Web 公開 #Last-Modified: Tue, 27 Jan 2004 05:12:58 GMT
2004-01-27 (米国日付)	CERT/CC CERT Incident Note IN-2004-01 W32/Novarg.A Virus を Web 公開
2004-01-27 20:06	IPA/ISEC 「W32/Mydoom」（別名：Novarg）ウイルスに関する情報を Web 公開 #Last-Modified: Tue, 27 Jan 2004 11:06:59 GMT
2004-01-27 (米国日付)	SCO プレスリリース SCO Offers Reward for Arrest and Conviction of Mydoom Virus Author を発表
2004-01-28 02:40	First メーリングリスト経由で CA-2004-02 が届く #Post-Date: Wed, 28 Jan 2004 02:27:05 JST
2004-01-28 03:18	CERT メーリングリスト経由で CA-2004-02 が届く #Post-Date: Wed, 28 Jan 2004 02:28:39 JST
2004-01-28 08:42	JPCERT メーリングリスト経由で CA-2004-02 の FYI が届く #Post-Date: Wed, 28 Jan 2004 08:28:40 JST
2004-01-28 (米国日付)	アンラボ Win32/MyDoom.worm.29184(1b) を確認日本エフセキュア Mydoom.B(1b) を確認マカフィー W32/Mydoom.b@MM(1b) を確認シマンテック W32.Mydoom.B@mm(1b) を確認トレンドマイクロ WORM_MYDOOM.B(*1b) を確認 #Binding-Port: 80, 1080, 3128, 8080, 10080
2004-01-29 09:18	First メーリングリスト経由で TA04-028A が届く #Post-Date: Thu, 29 Jan 2004 09:07:45 JST
2004-01-29 (米国日付)	Microsoft プレスリリース Microsoft Offers $250,000 Reward for Information Leading to Conviction of MyDoom.B Perpetrators を発表
2004-01-29	トレンドマイクロ検出名を変更 WORM_MIMAIL.R (パターン743～) ＝＞ WORM_MYDOOM.A (パターン750～)
2004-02-01 (米国日付)	SCO プレスリリース SCO Experiences Massive Denial of Service Attack を発表
2004-02-02 01:09:18	W32/Mydoom.A (W32/Novarg.A): www.sco.com への DDoS 機能の活性化 (2004-02-01 16:09:18 UTC) W32/Mydoom.B: www.sco.com への DDoS 機能の活性化 (2004-02-01 16:09:18 UTC) #Reference: CNET Japan #Reference: ITmedia #Reference: BizTech #Reference: ITPro
2004-02-02	www.sco.com の A レコード削除 (W32/Mydoom.A, W32/Mydoom.B の DDoS 対象) $ nslookup > www.sco.com. Server: ns.calderasystems.com. Address: 216.250.130.1#53 server can't find www.sco.com: NXDOMAIN > sco.com. Name: sco.com Address: 216.250.128.21　(http://sco.com/ サイト利用可能) > www2.sco.com. Name: www2.sco.com Address: 216.250.128.33　(http://www2.sco.com/** サイト利用可能) #Reference: Netcraft #Reference: Netcraft #Reference: Netcraft
2004-02-02 (米国日付)	SCO プレスリリース SCO Provides Alternate Company Web Site Access And Unites With Vendors to Combat Virus を発表 $ nslookup > www.thescogroup.com. Server: ns.calderasystems.com. Address: 216.250.130.1#53 Name: www.thescogroup.com Address: 216.250.128.21　(http://www.thescogroup.com/ サイト利用可能) #Reference: Netcraft #Reference: HotWired Japan #Reference: ITmedia
2004-02-03 11:00 頃	SecurityFocus ThreatCON ? => ?
2004-02-03 16:13	経済産業省情報セキュリティ政策室 W32/Mydoom(マイドゥーム)ウイルスに関する情報についてを Web 公開 #Last-Modified: Tue, 03 Feb 2004 07:13:04 GMT
2004-02-03 (米国日付)	Microsoft https://information.microsoft.com/ サイト準備 #Reference: Microsoft #Reference: Netcraft
2004-02-03 22:09:18	W32/Mydoom.B: www.microsoft.com への DDoS 機能の活性化 (2004-02-03 13:09:18 UTC) #Reference: CNET Japan #Reference: HotWired Japan #Reference: IMPRESS #Reference: ITmedia #Reference: ITPro
2004-02-05 00:20	ISS AlertCon ? => ?
2004-02-05 (米国日付)	Microsoft MyDoom (A,B) Worm Removal Tool for Windows XP and Windows 2000 (英語版：日本語環境でも動作可) をリリース
2004-02-06 (米国日付)	シマンテック W32.HLLW.Deadhat(*2)[W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム] を確認 #Binding-Port: 2766
2004-02-07 (米国日付)	日本エフセキュア Vesser(2) を確認マカフィー W32/Deadhat.worm.a(2) を確認 #Binding-Port: 2766
2004-02-08 (米国日付)	トレンドマイクロ WORM_DEADHAT.A(*2) を確認 #Binding-Port: 2766
2004-02-09 (米国日付)	W32/Mydoom.A, W32/Mydoom.B の駆除と www.microsoft.com への DDoS 攻撃を試みるワームアンラボ Win32/Doomjuice.worm.36864(3) を確認日本エフセキュア Doomjuice(3) を確認マカフィー W32/Doomjuice.worm.a(3) を確認シマンテック W32.HLLW.Doomjuice(3) を確認トレンドマイクロ WORM_DOOMJUICE.A(*3) を確認
2004-02-10 (米国日付)	US-CERT Current Activity として W32/Mydoom.C or W32.HLLW.Doomjuice を報告
2004-02-11 11:16	@Police TCP3127番ポートに対するトラフィックの増加について(2/11) を Web 公開 #Last-Modified: Wed, 11 Feb 2004 02:16:31 GMT
2004-02-11 (米国日付)	W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワームマカフィー W32/Nachi.worm.b(5b) を確認シマンテック W32.Welchia.B.Worm(5b) を確認トレンドマイクロ WORM_NACHI.B(*5b) を確認
2004-02-11 (米国日付)	W32/Mydoom.A, W32/Mydoom.B の駆除と www.microsoft.com への DDoS 攻撃を試みるワームアンラボ Win32/Doomjuice.worm.5120(3b) を確認日本エフセキュア Doomjuice.B(3b) を確認マカフィー W32/Doomjuice.worm.b(3b) を確認シマンテック W32.HLLW.Doomjuice.B(3b) を確認トレンドマイクロ WORM_DOOMJUICE.B(*3b) を確認
2004-02-11 (米国日付)	トレンドマイクロ WORM_DEADHAT.B(*2b) を確認 #Binding-Port: 2766
2004-02-12 11:28:39	W32/Mydoom.A (W32/Novarg.A) DDoS 機能の停止 (2004-02-12 02:28:39 UTC)
2004-02-12 (米国日付)	シマンテック W32.HLLW.Deadhat.B(*2b) を確認 #Binding-Port: 2766
2004-02-12 (米国日付)	W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワームトレンドマイクロ WORM_NACHI.C(*5c) を確認
2004-02-12 23:09	@Police Welchia.B（NACHI.B）ワームの発生について(2/12) #Last-Modified: Thu, 12 Feb 2004 14:09:56 GMT
2004-02-12 23:20	@Police TCP445番ポートに対するトラフィックの増加について(2/12) #Last-Modified: Thu, 12 Feb 2004 14:20:13 GMT
2004-02-13 (米国日付)	マカフィー W32/Nachi.worm.c(*5c) を確認
2004-02-13 22:32	@Police Welchia.B（NACHI.B）ワームの概要について(2/13) #Last-Modified: Fri, 13 Feb 2004 13:32:41 GMT
2004-02-14 10:00頃	SecurityFocus ThreatCON ? => ?
2004-02-15 (米国日付)	シマンテック W32.Welchia.C.Worm(*5c) を確認
2004-02-16 (米国日付)	トレンドマイクロ WORM_DEADHAT.C(*2c) を確認 #Binding-Port: 2766
2004-02-16 (米国日付)	トレンドマイクロ WORM_MYDOOM.E(1e) を確認マカフィー W32/Mydoom.e@MM(1e) を確認 #Binding-Port: 3127 ～ 3198
2004-02-17 02:00頃	SecurityFocus ThreatCON ? => ?
2004-02-19 (米国日付)	マカフィー W32/Mydoom.f@MM(*1f) を確認
2004-02-20 (米国日付)	トレンドマイクロ WORM_MYDOOM.F(1f) を確認シマンテック W32.Mydoom.F@mm(1f) を確認
2004-02-23 (米国日付)	W32/Mydoom.A, W32/Mydoom.B, W32/Doomjuice.A, W32/Doomjuice.B の駆除を試みるワームシマンテック W32.Welchia.D.Worm(*5d) を確認
2004-02-24 (米国日付)	US-CERT Current Activity として W32/Mydoom.F を報告
2004-02-24 (米国日付)	US-CERT Current Activity として W32/Welchia.D を報告
2004-03-01 12:18:42	W32/Mydoom.B 流布活動停止 (2004-03-01 03:18:42 UTC)
2004-03-02 (米国日付)	トレンドマイクロ WORM_MYDOOM.G(1g) を確認シマンテック W32.Mydoom.G@mm(1g) を確認
2004-03-03 (米国日付)	マカフィー W32/Mydoom.g@MM(1g), W32/Mydoom.h@MM(1h) を確認トレンドマイクロ WORM_MYDOOM.H(1h) を確認シマンテック W32.Mydoom.H@mm(1h) を確認
2004-03-05 15:00 頃	www.sco.com の A レコード回復 (W32/Mydoom.A, W32/Mydoom.B の DDoS 対象) $ host www.sco.com. ns.calderasystems.com. Using domain server: Name: ns.calderasystems.com. Address: 216.250.130.1#53 Aliases: www.sco.com has address 216.250.128.12 #Reference: Netcraft
2004-04-15 (米国日付)	シマンテック W32.Mydoom.I@mm(*1i) を確認
2004-04-16 (米国日付)	トレンドマイクロ WORM_MYDOOM.I(*1i) を確認
2004-05-18 (米国日付)	シマンテック W32.Mydoom.K@mm(1k) を確認トレンドマイクロ WORM_MYDOOM.K(1k) を確認
2004-06-01	W32/Welchia.B (Nachi.B) 流布活動停止 (Windows 日本語版環境では感染活動は継続するので留意のこと)
2004-07-19 (米国日付)	シマンテック W32.Mydoom.L@mm(1l) を確認トレンドマイクロ WORM_MYDOOM.L(1l) を確認
2004-07-26 (米国日付)	マカフィー W32/Mydoom.o@MM(1m) を確認シマンテック W32.Mydoom.M@mm(1m) を確認トレンドマイクロ WORM_MYDOOM.M(*1m) を確認
2004-07-26 (米国日付)	US-CERT Current Activity として W32/MyDoom Revisited を報告
2004-07-27 10:10	@police Mydoomウイルスの蔓延について(7/27) を Web 公開 #Last-Modified: Tue, 27 Jul 2004 01:10:08 GMT
2004-07-29 (米国日付)	シマンテック W32.Mydoom.N@mm(*1n) を確認
2004-07-31 (米国日付)	マカフィー W32/Mydoom.p@MM(1n) を確認トレンドマイクロ WORM_MYDOOM.N(1n) を確認
2004-08-03 (米国日付)	マカフィー W32/Mydoom.q@MM(1o) を確認トレンドマイクロ WORM_MYDOOM.O(1o) を確認
2004-08-09 (米国日付)	マカフィー W32/Mydoom.r@MM(1p) を確認シマンテック W32.Mydoom.P@mm(1p) を確認トレンドマイクロ WORM_MYDOOM.R(*1p) を確認
2004-08-15 (米国日付)	マカフィー W32/Mydoom.s@MM(1q) を確認トレンドマイクロ (~~WORM_RATOS.A~~)(1q)** を確認
2004-08-16 (米国日付)	シマンテック W32.Mydoom.Q@mm(*1q) を確認
2004-08-16 20:39	@police Mydoom.Qウイルスの蔓延について(8/16) を Web 公開 #Last-Modified: Mon, 16 Aug 2004 11:39:09 GMT
2004-09-03 (米国日付)	トレンドマイクロ検出名を変更 WORM_RATOS.A (パターン1.957.00～)＝＞WORM_MYDOOM.S (パターン2.164.00～) *(1q)**
2004-09-03 (米国日付)	マカフィー W32/Mydoom.t@MM(1r) を確認シマンテック W32.Mydoom.R@mm(1r) を確認トレンドマイクロ WORM_MYDOOM.T(*1r) を確認
2004-09-09 (米国日付)	マカフィー W32/Mydoom.u@MM(1s) を確認シマンテック W32.Mydoom.S@mm(1s) を確認トレンドマイクロ WORM_MYDOOM.P(*1s) を確認
2004-09-09 (米国日付)	マカフィー W32/Mydoom.v@MM(1t) を確認シマンテック W32.Mydoom.T@mm(1t) を確認
2004-09-09 (米国日付)	シマンテック W32.Mydoom.U@mm(*1u) を確認
2004-09-10 (米国日付)	シマンテック W32.Mydoom.V@mm(*1v) を確認
2004-09-13 (米国日付)	マカフィー W32/Mydoom.w@MM(*1v) を確認
2004-09-13 (米国日付)	マカフィー W32/Mydoom.z@MM を確認
2004-09-14 (米国日付)	トレンドマイクロ WORM_MYDOOM.W を確認
2004-09-14 (米国日付)	シマンテック W32.Mydoom.W@mm(1w) を確認トレンドマイクロ WORM_MYDOOM.X(1w) を確認
2004-09-15 (米国日付)	マカフィー W32/Mydoom.y@MM(*1w) を確認
2004-09-15 (米国日付)	シマンテック W32.Mydoom.Y@mm を確認
2004-09-15 (米国日付)	マカフィー W32/Mydoom.ab@MM を確認シマンテック W32.Mydoom.AB@mm を確認
2004-09-28 (米国日付)	シマンテック W32.Mydoom.AC@mm を確認
2004-10-04 (米国日付)	シマンテック W32.Mydoom.AD@mm を確認
2004-10-15 (米国日付)	シマンテック W32.Mydoom.AF@mm を確認
2004-10-19 (米国日付)	トレンドマイクロ WORM_MYDOOM.AA を確認
2004-10-25 (米国日付)	シマンテック W32.Mydoom.AG@mm を確認
2004-10-26 (米国日付)	トレンドマイクロ WORM_MYDOOM.AF を確認
2004-10-27 (米国日付)	マカフィー W32/Mydoom.af@MM を確認
2004-11-08 (米国日付)	VU#842160 を悪用するワームマカフィー W32/Mydoom.ah@MM(1ah) を確認シマンテック W32.Mydoom.AH@mm(1ah) を確認トレンドマイクロ WORM_MYDOOM.AH(*1ah) を確認
2004-11-08 (米国日付)	VU#842160 を悪用するワームマカフィー W32/Mydoom.ag@MM(1ai) を確認シマンテック W32.Mydoom.AI@mm(1ai) を確認トレンドマイクロ WORM_MYDOOM.AG(*1ai) を確認
2004-11-08 (米国日付)	SANS Institute New MyDoom Variant uses unpatched exploit において脆弱性 VU#842160 を攻略するワーム (Mydoom 変種) 流布を報告
2004-11-09 (米国日付)	US-CERT Current Activity として W32/MyDoom Revisited を報告
2004-11-10 (米国日付)	VU#842160 を悪用するワームシマンテック W32.Mydoom.AJ@mm を確認
2004-11-11 (米国日付)	VU#842160 を悪用するワームシマンテック W32.Mydoom.AK@mm を確認
2005-01-15 (米国日付)	マカフィー W32/Mydoom.ap@MM を確認
2005-01-21 (米国日付)	トレンドマイクロ WORM_MYDOOM.AL を確認
2005-01-24 (米国日付)	シマンテック W32.Mydoom.AM@mm(*1am) を確認
2005-01-25 (米国日付)	マカフィー W32/Mydoom.av@MM(1am)(1an)** を確認トレンドマイクロ WORM_MYDOOM.AM(*1am) を確認
2005-01-27 (米国日付)	トレンドマイクロ WORM_MYDOOM.AN(*1an) を確認
2005-01-28 (米国日付)	シマンテック W32.Mydoom.AN@mm(*1an) を確認
2005-01-31 (米国日付)	シマンテック W32.Mydoom.AO@mm を確認
2005-02-02 (米国日付)	トレンドマイクロ WORM_MYDOOM.AX を確認
2005-02-04 (米国日付)	トレンドマイクロ WORM_MYDOOM.AW, WORM_MYDOOM.AY を確認
2005-02-07 (米国日付)	シマンテック W32.Mydoom.AR@mm を確認
2005-02-09 (米国日付)	トレンドマイクロ WORM_MYDOOM.AR を確認
2005-02-09 (米国日付)	シマンテック W32.Mydoom.AS@mm を確認
2005-02-10 (米国日付)	シマンテック W32.Mydoom.AU@mm を確認
2005-02-16 (米国日付)	マカフィー W32/Mydoom.bb@MM(1ax) を確認シマンテック W32.Mydoom.AX@mm(1ax) を確認
2005-02-17 (米国日付)	トレンドマイクロ WORM_MYDOOM.BB(*1ax) を確認
2005-02-17 12:44	@police Mydoom.AXウイルスの発生についてを Web 公開 #Last-Modified: Thu, 17 Feb 2005 03:44:05 GMT
2005-02-18 (米国日付)	マカフィー W32/Mydoom.bc@MM(1az), W32/Mydoom.bd@MM(1az) を確認シマンテック W32.Mydoom.AZ@mm(1az) を確認トレンドマイクロ WORM_MYDOOM.BC(1az), WORM_MYDOOM.BD(*1az) を確認
2005-02-20 (米国日付)	マカフィー W32/Mydoom.be@MM(1ba) を確認シマンテック W32.Mydoom.BA@mm(1ba) を確認トレンドマイクロ WORM_MYDOOM.BA(*1ba) を確認
2005-02-21 (米国日付)	トレンドマイクロ WORM_MYDOOM.BE を確認
2005-02-21 (米国日付)	シマンテック W32.Mydoom.BB@mm を確認
2005-02-22 (米国日付)	マカフィー W32/Mydoom.bf@MM を確認トレンドマイクロ WORM_MYDOOM.BF を確認

No.	名称	DDoS 活動
No.	名称	対象	活動期間
*1	MyDoom.A W32.Novarg.A@mm W32/Mydoom@MM WORM_MYDOOM.A (~~WORM_MIMAIL.R~~)	www.sco.com	2004 年 2 月 1 日 16:09:18　～　2004 年 2 月 12 日 02:28:39 UTC
*1b	MyDoom.B W32.Mydoom.B@mm W32/Mydoom.b@MM WORM_MYDOOM.B	www.sco.com	2004 年 2 月 1 日 16:09:18　～　2004 年 3 月 1 日 03:18:42 UTC
*1b	MyDoom.B W32.Mydoom.B@mm W32/Mydoom.b@MM WORM_MYDOOM.B	www.microsoft.com	2004 年 2 月 3 日 13:09:18　～　2004 年 3 月 1 日 03:18:42 UTC
*1e	MyDoom.E W32/Mydoom.e@MM WORM_MYDOOM.E	www.sco.com	2004 年 2 月 1 日 16:09:18　～　2006 年 2 月 14 日 02:28:57 UTC
*1f	MyDoom.F W32.Mydoom.F@mm W32/Mydoom.f@MM WORM_MYDOOM.F W32/MyDoom-F	www.microsoft.com www.riaa.com	シマンテック：毎月 17 日～ 22 日ソフォス：毎月 17 日～ 22 日トレンドマイクロ：2004 年 2 月 1 日 16:09:18　～　2006 年 2 月 14 日 02:28:57 UTC
*1g	MyDoom.G W32.Mydoom.G@mm W32/Mydoom.g@MM WORM_MYDOOM.G	www.symantec.com
*1h	MyDoom.H W32.Mydoom.H@mm W32/Mydoom.h@MM WORM_MYDOOM.H	www.symantec.com symantec.com
*1i	MyDoom.I W32.Mydoom.I@mm WORM_MYDOOM.I
*1w	MyDoom.W W32.Mydoom.W@mm W32/Mydoom.y@MM WORM_MYDOOM.X	www.symantec.com	シマンテック：2004 年 9 月 1 日　～　2004 年 10 月 1 日
*2	Deadhat.A W32.HLLW.Deadhat W32/Deadhat.worm.a WORM_DEADHAT.A	なし
*2b	Deadhat.B W32.HLLW.Deadhat.B WORM_DEADHAT.B	なし
*2c	Deadhat.C WORM_DEADHAT.C	なし
*3	Doomjuice.A W32.HLLW.Doomjuice W32/Doomjuice.worm.a WORM_DOOMJUICE.A	www.microsoft.com	2 月 9 日　～
*3b	Doomjuice.B W32.HLLW.Doomjuice.B W32/Doomjuice.worm.b WORM_DOOMJUICE.B	www.microsoft.com	「月」の値が 1 月以外で、「日」の値が 8 日より前か、12 日よりも後
*5b	Welchia.B,Nachi.B W32.Welchia.B.Worm W32/Nachi.worm.b WORM_NACHI.B	なし
*5c	Welchia.C,Nachi.C W32.Welchia.C.Worm W32/Nachi.worm.c WORM_NACHI.C	なし
*5d	Welchia.D,Nachi.D W32.Welchia.D.Worm	なし

No.	名称	サイズ	作成ファイル	MUTEX
*1r	Mydoom.R W32.Mydoom.R@mm W32/Mydoom.t@MM WORM_MYDOOM.T		tasker.exe Nemog.dll
*1s	Mydoom.S W32.Mydoom.S@mm W32/Mydoom.u@MM WORM_MYDOOM.P	18,200 バイト	winspf32.exe rx32hh00.exe
*1t	Mydoom.T W32.Mydoom.T@mm W32/Mydoom.v@MM		windrv32.exe autostart.exe
*1u	Mydoom.U W32.Mydoom.U@mm		taskmon.exe
*1v	Mydoom.V W32.Mydoom.V@mm W32/Mydoom.w@MM	18,432 バイト	win32s.exe autorun.exe	LLLf54fxrDLLL
*1w	Mydoom.W W32.Mydoom.W@mm W32/Mydoom.y@MM WORM_MYDOOM.X	88,640 バイト	oz11111.exe oz2.exe	Sept-Symantec-Attack
*1ah	Mydoom.AH W32.Mydoom.AH@mm W32/Mydoom.ah@MM WORM_MYDOOM.AH		32.exeで終わるランダムなファイル名
*1ai	Mydoom.AI W32.Mydoom.AI@mm W32/Mydoom.ag@MM WORM_MYDOOM.AG	20,751 バイト	32.exeで終わるランダムなファイル名

CERT Incident Note IN-2004-01
W32/Novarg.A Virus
CERT Advisory CA-2004-02
Email-borne Viruses
US-CERT Technical Cyber Security Alert TA04-028A
MyDoom.B Rapidly Spreading
Vendor Status Note JVNCA-2004-02
大量に電子メールを配信するワーム

TRIN-2004-01 W32/Novarg.A ウイルス

TRIN-2004-01
W32/Novarg.A ウイルス