TRIN-2004-01
W32/Novarg.A ウイルス
W32/Novarg.A, W32/Shimg, W32/Mydoom と呼ばれ、大量に電子メールを配信して感染活動を行うワームについての情報です。
日時 (JST) | 内容 |
2004-01-26 (米国日付) | アンラボ Win32/Mydoom.worm.22528(*1) を確認 日本エフセキュア Mydoom(*1) を確認 マカフィー W32/Mydoom@MM(*1) を確認 シマンテック W32.Novarg.A@mm(*1) を確認 トレンドマイクロ WORM_MIMAIL.R(*1) を確認 #Binding-Port: 3127 〜 3198 |
2004-01-26 (米国日付) | US-CERT Current Activity として W32/Mydoom or W32/Novarg を報告 |
2004-01-27 09:00 | ISSKK MyDoom に関連性が高いと考えられる Email_Virus_Double_Extention イベントの急増を確認 |
2004-01-27 11:33 | @Police Novarg(Mydoom、MIMAIL.R)ウイルスの蔓延について を Web 公開
#Last-Modified: Tue, 27 Jan 2004 02:33:23 GMT |
2004-01-27 AM | SecurityFocus ThreatCON ? => ? |
2004-01-27 PM | ISS AlertCon ? => ? |
2004-01-27 | マイクロソフト Mydoom に関する情報 を Web 公開 |
2004-01-27 14:12 | ISSKK 大量に電子メールを配信する MyDoom ワーム を Web 公開
#Last-Modified: Tue, 27 Jan 2004 05:12:58 GMT |
2004-01-27 (米国日付) | CERT/CC CERT Incident Note IN-2004-01 W32/Novarg.A Virus を Web 公開 |
2004-01-27 20:06 | IPA/ISEC 「W32/Mydoom」(別名:Novarg)ウイルスに関する情報 を Web 公開
#Last-Modified: Tue, 27 Jan 2004 11:06:59 GMT |
2004-01-27 (米国日付) | SCO プレスリリース SCO Offers Reward for Arrest and Conviction of Mydoom Virus Author を発表 |
2004-01-28 02:40 | First メーリングリスト経由で CA-2004-02 が届く
#Post-Date: Wed, 28 Jan 2004 02:27:05 JST |
2004-01-28 03:18 | CERT メーリングリスト経由で CA-2004-02 が届く
#Post-Date: Wed, 28 Jan 2004 02:28:39 JST |
2004-01-28 08:42 | JPCERT メーリングリスト経由で CA-2004-02 の FYI が届く
#Post-Date: Wed, 28 Jan 2004 08:28:40 JST |
2004-01-28 (米国日付) | アンラボ Win32/MyDoom.worm.29184(*1b) を確認 日本エフセキュア Mydoom.B(*1b) を確認 マカフィー W32/Mydoom.b@MM(*1b) を確認 シマンテック W32.Mydoom.B@mm(*1b) を確認 トレンドマイクロ WORM_MYDOOM.B(*1b) を確認 #Binding-Port: 80, 1080, 3128, 8080, 10080 |
2004-01-29 09:18 | First メーリングリスト経由で TA04-028A が届く
#Post-Date: Thu, 29 Jan 2004 09:07:45 JST |
2004-01-29 (米国日付) | Microsoft プレスリリース Microsoft Offers $250,000 Reward for Information Leading to Conviction of MyDoom.B Perpetrators を発表 |
2004-01-29 | トレンドマイクロ 検出名を変更 WORM_MIMAIL.R (パターン743〜) => WORM_MYDOOM.A (パターン750〜) |
2004-02-01 (米国日付) | SCO プレスリリース SCO Experiences Massive Denial of Service Attack を発表 |
2004-02-02 01:09:18 | W32/Mydoom.A (W32/Novarg.A): www.sco.com への DDoS 機能の活性化 (2004-02-01 16:09:18 UTC) W32/Mydoom.B: www.sco.com への DDoS 機能の活性化 (2004-02-01 16:09:18 UTC) #Reference: CNET Japan #Reference: ITmedia #Reference: BizTech #Reference: ITPro |
2004-02-02 | www.sco.com の A レコード削除 (W32/Mydoom.A, W32/Mydoom.B の DDoS 対象) $ nslookup > www.sco.com. Server: ns.calderasystems.com. Address: 216.250.130.1#53 ** server can't find www.sco.com: NXDOMAIN > sco.com. Name: sco.com Address: 216.250.128.21 (http://sco.com/ サイト利用可能) > www2.sco.com. Name: www2.sco.com Address: 216.250.128.33 (http://www2.sco.com/ サイト利用可能) #Reference: Netcraft #Reference: Netcraft #Reference: Netcraft |
2004-02-02 (米国日付) | SCO プレスリリース SCO Provides Alternate Company Web Site Access And Unites With Vendors to Combat Virus を発表
$ nslookup > www.thescogroup.com. Server: ns.calderasystems.com. Address: 216.250.130.1#53 Name: www.thescogroup.com Address: 216.250.128.21 (http://www.thescogroup.com/ サイト利用可能) #Reference: Netcraft #Reference: HotWired Japan #Reference: ITmedia |
2004-02-03 11:00 頃 | SecurityFocus ThreatCON ? => ? |
2004-02-03 16:13 | 経済産業省 情報セキュリティ政策室 W32/Mydoom(マイドゥーム)ウイルスに関する情報について を Web 公開
#Last-Modified: Tue, 03 Feb 2004 07:13:04 GMT |
2004-02-03 (米国日付) | Microsoft https://information.microsoft.com/ サイト準備
#Reference: Microsoft #Reference: Netcraft |
2004-02-03 22:09:18 | W32/Mydoom.B: www.microsoft.com への DDoS 機能の活性化 (2004-02-03 13:09:18 UTC)
#Reference: CNET Japan #Reference: HotWired Japan #Reference: IMPRESS #Reference: ITmedia #Reference: ITPro |
2004-02-05 00:20 | ISS AlertCon ? => ? |
2004-02-05 (米国日付) | Microsoft MyDoom (A,B) Worm Removal Tool for Windows XP and Windows 2000 (英語版:日本語環境でも動作可) をリリース |
2004-02-06 (米国日付) | シマンテック W32.HLLW.Deadhat(*2)[W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム] を確認
#Binding-Port: 2766 |
2004-02-07 (米国日付) | 日本エフセキュア Vesser(*2) を確認 マカフィー W32/Deadhat.worm.a(*2) を確認 #Binding-Port: 2766 |
2004-02-08 (米国日付) | トレンドマイクロ WORM_DEADHAT.A(*2) を確認
#Binding-Port: 2766 |
2004-02-09 (米国日付) | W32/Mydoom.A, W32/Mydoom.B の駆除と www.microsoft.com への DDoS 攻撃を試みるワーム アンラボ Win32/Doomjuice.worm.36864(*3) を確認 日本エフセキュア Doomjuice(*3) を確認 マカフィー W32/Doomjuice.worm.a(*3) を確認 シマンテック W32.HLLW.Doomjuice(*3) を確認 トレンドマイクロ WORM_DOOMJUICE.A(*3) を確認 |
2004-02-10 (米国日付) | US-CERT Current Activity として W32/Mydoom.C or W32.HLLW.Doomjuice を報告 |
2004-02-11 11:16 | @Police TCP3127番ポートに対するトラフィックの増加について(2/11) を Web 公開
#Last-Modified: Wed, 11 Feb 2004 02:16:31 GMT |
2004-02-11 (米国日付) | W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム マカフィー W32/Nachi.worm.b(*5b) を確認 シマンテック W32.Welchia.B.Worm(*5b) を確認 トレンドマイクロ WORM_NACHI.B(*5b) を確認 |
2004-02-11 (米国日付) | W32/Mydoom.A, W32/Mydoom.B の駆除と www.microsoft.com への DDoS 攻撃を試みるワーム アンラボ Win32/Doomjuice.worm.5120(*3b) を確認 日本エフセキュア Doomjuice.B(*3b) を確認 マカフィー W32/Doomjuice.worm.b(*3b) を確認 シマンテック W32.HLLW.Doomjuice.B(*3b) を確認 トレンドマイクロ WORM_DOOMJUICE.B(*3b) を確認 |
2004-02-11 (米国日付) | トレンドマイクロ WORM_DEADHAT.B(*2b) を確認
#Binding-Port: 2766 |
2004-02-12 11:28:39 | W32/Mydoom.A (W32/Novarg.A) DDoS 機能の停止 (2004-02-12 02:28:39 UTC) |
2004-02-12 (米国日付) | シマンテック W32.HLLW.Deadhat.B(*2b) を確認
#Binding-Port: 2766 |
2004-02-12 (米国日付) | W32/Mydoom.A, W32/Mydoom.B の駆除を試みるワーム トレンドマイクロ WORM_NACHI.C(*5c) を確認 |
2004-02-12 23:09 | @Police Welchia.B(NACHI.B)ワームの発生について(2/12)
#Last-Modified: Thu, 12 Feb 2004 14:09:56 GMT |
2004-02-12 23:20 | @Police TCP445番ポートに対するトラフィックの増加について(2/12)
#Last-Modified: Thu, 12 Feb 2004 14:20:13 GMT |
2004-02-13 (米国日付) | マカフィー W32/Nachi.worm.c(*5c) を確認 |
2004-02-13 22:32 | @Police Welchia.B(NACHI.B)ワームの概要について(2/13)
#Last-Modified: Fri, 13 Feb 2004 13:32:41 GMT |
2004-02-14 10:00頃 | SecurityFocus ThreatCON ? => ? |
2004-02-15 (米国日付) | シマンテック W32.Welchia.C.Worm(*5c) を確認 |
2004-02-16 (米国日付) | トレンドマイクロ WORM_DEADHAT.C(*2c) を確認
#Binding-Port: 2766 |
2004-02-16 (米国日付) | トレンドマイクロ WORM_MYDOOM.E(*1e) を確認 マカフィー W32/Mydoom.e@MM(*1e) を確認 #Binding-Port: 3127 〜 3198 |
2004-02-17 02:00頃 | SecurityFocus ThreatCON ? => ? |
2004-02-19 (米国日付) | マカフィー W32/Mydoom.f@MM(*1f) を確認 |
2004-02-20 (米国日付) | トレンドマイクロ WORM_MYDOOM.F(*1f) を確認 シマンテック W32.Mydoom.F@mm(*1f) を確認 |
2004-02-23 (米国日付) | W32/Mydoom.A, W32/Mydoom.B, W32/Doomjuice.A, W32/Doomjuice.B の駆除を試みるワーム シマンテック W32.Welchia.D.Worm(*5d) を確認 |
2004-02-24 (米国日付) | US-CERT Current Activity として W32/Mydoom.F を報告 |
2004-02-24 (米国日付) | US-CERT Current Activity として W32/Welchia.D を報告 |
2004-03-01 12:18:42 | W32/Mydoom.B 流布活動停止 (2004-03-01 03:18:42 UTC) |
2004-03-02 (米国日付) | トレンドマイクロ WORM_MYDOOM.G(*1g) を確認 シマンテック W32.Mydoom.G@mm(*1g) を確認 |
2004-03-03 (米国日付) | マカフィー W32/Mydoom.g@MM(*1g), W32/Mydoom.h@MM(*1h) を確認 トレンドマイクロ WORM_MYDOOM.H(*1h) を確認 シマンテック W32.Mydoom.H@mm(*1h) を確認 |
2004-03-05 15:00 頃 | www.sco.com の A レコード回復 (W32/Mydoom.A, W32/Mydoom.B の DDoS 対象) $ host www.sco.com. ns.calderasystems.com. Using domain server: Name: ns.calderasystems.com. Address: 216.250.130.1#53 Aliases: www.sco.com has address 216.250.128.12 #Reference: Netcraft |
2004-04-15 (米国日付) | シマンテック W32.Mydoom.I@mm(*1i) を確認 |
2004-04-16 (米国日付) | トレンドマイクロ WORM_MYDOOM.I(*1i) を確認 |
2004-05-18 (米国日付) |
シマンテック W32.Mydoom.K@mm(*1k) を確認
トレンドマイクロ WORM_MYDOOM.K(*1k) を確認 |
2004-06-01 | W32/Welchia.B (Nachi.B) 流布活動停止 (Windows 日本語版環境では感染活動は継続するので留意のこと) |
2004-07-19 (米国日付) |
シマンテック W32.Mydoom.L@mm(*1l) を確認
トレンドマイクロ WORM_MYDOOM.L(*1l) を確認 |
2004-07-26 (米国日付) |
マカフィー W32/Mydoom.o@MM(*1m) を確認
シマンテック W32.Mydoom.M@mm(*1m) を確認 トレンドマイクロ WORM_MYDOOM.M(*1m) を確認 |
2004-07-26 (米国日付) | US-CERT Current Activity として W32/MyDoom Revisited を報告 |
2004-07-27 10:10 |
@police Mydoomウイルスの蔓延について(7/27) を Web 公開
#Last-Modified: Tue, 27 Jul 2004 01:10:08 GMT |
2004-07-29 (米国日付) | シマンテック W32.Mydoom.N@mm(*1n) を確認 |
2004-07-31 (米国日付) |
マカフィー W32/Mydoom.p@MM(*1n) を確認
トレンドマイクロ WORM_MYDOOM.N(*1n) を確認 |
2004-08-03 (米国日付) |
マカフィー W32/Mydoom.q@MM(*1o) を確認
トレンドマイクロ WORM_MYDOOM.O(*1o) を確認 |
2004-08-09 (米国日付) |
マカフィー W32/Mydoom.r@MM(*1p) を確認
シマンテック W32.Mydoom.P@mm(*1p) を確認 トレンドマイクロ WORM_MYDOOM.R(*1p) を確認 |
2004-08-15 (米国日付) |
マカフィー W32/Mydoom.s@MM(*1q) を確認
トレンドマイクロ ( |
2004-08-16 (米国日付) | シマンテック W32.Mydoom.Q@mm(*1q) を確認 |
2004-08-16 20:39 |
@police Mydoom.Qウイルスの蔓延について(8/16) を Web 公開
#Last-Modified: Mon, 16 Aug 2004 11:39:09 GMT |
2004-09-03 (米国日付) | トレンドマイクロ検出名を変更 WORM_RATOS.A (パターン1.957.00〜)=>WORM_MYDOOM.S (パターン2.164.00〜) (*1q) |
2004-09-03 (米国日付) |
マカフィー W32/Mydoom.t@MM(*1r) を確認
シマンテック W32.Mydoom.R@mm(*1r) を確認 トレンドマイクロ WORM_MYDOOM.T(*1r) を確認 |
2004-09-09 (米国日付) |
マカフィー W32/Mydoom.u@MM(*1s) を確認
シマンテック W32.Mydoom.S@mm(*1s) を確認 トレンドマイクロ WORM_MYDOOM.P(*1s) を確認 |
2004-09-09 (米国日付) |
マカフィー W32/Mydoom.v@MM(*1t) を確認
シマンテック W32.Mydoom.T@mm(*1t) を確認 |
2004-09-09 (米国日付) | シマンテック W32.Mydoom.U@mm(*1u) を確認 |
2004-09-10 (米国日付) | シマンテック W32.Mydoom.V@mm(*1v) を確認 |
2004-09-13 (米国日付) | マカフィー W32/Mydoom.w@MM(*1v) を確認 |
2004-09-13 (米国日付) | マカフィー W32/Mydoom.z@MM を確認 |
2004-09-14 (米国日付) | トレンドマイクロ WORM_MYDOOM.W を確認 |
2004-09-14 (米国日付) |
シマンテック W32.Mydoom.W@mm(*1w) を確認
トレンドマイクロ WORM_MYDOOM.X(*1w) を確認 |
2004-09-15 (米国日付) | マカフィー W32/Mydoom.y@MM(*1w) を確認 |
2004-09-15 (米国日付) | シマンテック W32.Mydoom.Y@mm を確認 |
2004-09-15 (米国日付) |
マカフィー W32/Mydoom.ab@MM を確認
シマンテック W32.Mydoom.AB@mm を確認 |
2004-09-28 (米国日付) | シマンテック W32.Mydoom.AC@mm を確認 |
2004-10-04 (米国日付) | シマンテック W32.Mydoom.AD@mm を確認 |
2004-10-15 (米国日付) | シマンテック W32.Mydoom.AF@mm を確認 |
2004-10-19 (米国日付) | トレンドマイクロ WORM_MYDOOM.AA を確認 |
2004-10-25 (米国日付) | シマンテック W32.Mydoom.AG@mm を確認 |
2004-10-26 (米国日付) | トレンドマイクロ WORM_MYDOOM.AF を確認 |
2004-10-27 (米国日付) | マカフィー W32/Mydoom.af@MM を確認 |
2004-11-08 (米国日付) |
VU#842160 を悪用するワーム
マカフィー W32/Mydoom.ah@MM(*1ah) を確認 シマンテック W32.Mydoom.AH@mm(*1ah) を確認 トレンドマイクロ WORM_MYDOOM.AH(*1ah) を確認 |
2004-11-08 (米国日付) |
VU#842160 を悪用するワーム
マカフィー W32/Mydoom.ag@MM(*1ai) を確認 シマンテック W32.Mydoom.AI@mm(*1ai) を確認 トレンドマイクロ WORM_MYDOOM.AG(*1ai) を確認 |
2004-11-08 (米国日付) | SANS Institute New MyDoom Variant uses unpatched exploit において脆弱性 VU#842160 を攻略するワーム (Mydoom 変種) 流布を報告 |
2004-11-09 (米国日付) | US-CERT Current Activity として W32/MyDoom Revisited を報告 |
2004-11-10 (米国日付) |
VU#842160 を悪用するワーム
シマンテック W32.Mydoom.AJ@mm を確認 |
2004-11-11 (米国日付) |
VU#842160 を悪用するワーム
シマンテック W32.Mydoom.AK@mm を確認 |
2005-01-15 (米国日付) | マカフィー W32/Mydoom.ap@MM を確認 |
2005-01-21 (米国日付) | トレンドマイクロ WORM_MYDOOM.AL を確認 |
2005-01-24 (米国日付) | シマンテック W32.Mydoom.AM@mm(*1am) を確認 |
2005-01-25 (米国日付) |
マカフィー W32/Mydoom.av@MM(*1am)(*1an) を確認
トレンドマイクロ WORM_MYDOOM.AM(*1am) を確認 |
2005-01-27 (米国日付) | トレンドマイクロ WORM_MYDOOM.AN(*1an) を確認 |
2005-01-28 (米国日付) | シマンテック W32.Mydoom.AN@mm(*1an) を確認 |
2005-01-31 (米国日付) | シマンテック W32.Mydoom.AO@mm を確認 |
2005-02-02 (米国日付) | トレンドマイクロ WORM_MYDOOM.AX を確認 |
2005-02-04 (米国日付) | トレンドマイクロ WORM_MYDOOM.AW, WORM_MYDOOM.AY を確認 |
2005-02-07 (米国日付) | シマンテック W32.Mydoom.AR@mm を確認 |
2005-02-09 (米国日付) | トレンドマイクロ WORM_MYDOOM.AR を確認 |
2005-02-09 (米国日付) | シマンテック W32.Mydoom.AS@mm を確認 |
2005-02-10 (米国日付) | シマンテック W32.Mydoom.AU@mm を確認 |
2005-02-16 (米国日付) |
マカフィー W32/Mydoom.bb@MM(*1ax) を確認
シマンテック W32.Mydoom.AX@mm(*1ax) を確認 |
2005-02-17 (米国日付) | トレンドマイクロ WORM_MYDOOM.BB(*1ax) を確認 |
2005-02-17 12:44 |
@police Mydoom.AXウイルスの発生について を Web 公開
#Last-Modified: Thu, 17 Feb 2005 03:44:05 GMT |
2005-02-18 (米国日付) |
マカフィー W32/Mydoom.bc@MM(*1az), W32/Mydoom.bd@MM(*1az) を確認
シマンテック W32.Mydoom.AZ@mm(*1az) を確認 トレンドマイクロ WORM_MYDOOM.BC(*1az), WORM_MYDOOM.BD(*1az) を確認 |
2005-02-20 (米国日付) |
マカフィー W32/Mydoom.be@MM(*1ba) を確認
シマンテック W32.Mydoom.BA@mm(*1ba) を確認 トレンドマイクロ WORM_MYDOOM.BA(*1ba) を確認 |
2005-02-21 (米国日付) | トレンドマイクロ WORM_MYDOOM.BE を確認 |
2005-02-21 (米国日付) | シマンテック W32.Mydoom.BB@mm を確認 |
2005-02-22 (米国日付) |
マカフィー W32/Mydoom.bf@MM を確認
トレンドマイクロ WORM_MYDOOM.BF を確認 |
No. | 名称 | サイズ | 作成ファイル | MUTEX |
*1r | Mydoom.R
W32.Mydoom.R@mm W32/Mydoom.t@MM WORM_MYDOOM.T |
tasker.exe Nemog.dll | ||
*1s | Mydoom.S
W32.Mydoom.S@mm W32/Mydoom.u@MM WORM_MYDOOM.P |
18,200 バイト | winspf32.exe rx32hh00.exe | |
*1t | Mydoom.T
W32.Mydoom.T@mm W32/Mydoom.v@MM |
windrv32.exe autostart.exe | ||
*1u | Mydoom.U
W32.Mydoom.U@mm |
taskmon.exe | ||
*1v | Mydoom.V
W32.Mydoom.V@mm W32/Mydoom.w@MM |
18,432 バイト | win32s.exe autorun.exe | LLLf54fxrDLLL |
*1w | Mydoom.W
W32.Mydoom.W@mm W32/Mydoom.y@MM WORM_MYDOOM.X |
88,640 バイト | oz11111.exe oz2.exe | Sept-Symantec-Attack |
*1ah | Mydoom.AH
W32.Mydoom.AH@mm W32/Mydoom.ah@MM WORM_MYDOOM.AH |
32.exeで終わるランダムなファイル名 | ||
*1ai | Mydoom.AI
W32.Mydoom.AI@mm W32/Mydoom.ag@MM WORM_MYDOOM.AG |
20,751 バイト | 32.exeで終わるランダムなファイル名 |
- CERT Incident Note IN-2004-01
W32/Novarg.A Virus - CERT Advisory CA-2004-02
Email-borne Viruses - US-CERT Technical Cyber Security Alert TA04-028A
MyDoom.B Rapidly Spreading - Vendor Status Note JVNCA-2004-02
大量に電子メールを配信するワーム