MYDOOM

「MYDOOM」は、大量のスパムメールを送信する機能で知られるワーム型のマルウェアのファミリです。ワームは、ネットワーク共有およびEメールを介して、また脆弱性を利用することにより拡散します。ピアツーピア（P2P）のネットワークを介して拡散する亜種もあります。

実行されると、ワームは、感染コンピュータのアドレス帳（Windows Address Book）やインターネット一時ファイルのフォルダからEメールアドレス、ユーザ名やドメイン名といった情報を収集します。収集された情報を利用することにより、特定の文字列を収集されたアドレスに付加して多くのEメールアドレスを作成します。そして、ワームは、自身のSimple Mail Transfer Protocol (SMTP)のエンジンを用いて、Eメールを介して自身のコピーを送信します。

ワームは、2009年に米国および韓国で発生した、Webサイトに対する分散型サービス拒否（DDoS）攻撃で利用されました。このワームは、特定のネットワーク解析ツールを削除する機能を備えており、ワームの早期の検出や削除を回避します。

また、ワームは、スパムメール機能を備える他のワームのファミリ「NETSKY」とのボット戦争でも知られています。

インストール

ワームは、以下のファイルを作成します。

• %System%\lsasvc.exe
• %Windows%\services.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\csrss.exe
• %Windows%\java.exe
• %Windows%\rasor38a.dll

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update = "{malware path}\{malware name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
JavaVM = "%Windows%\java.exe"

その他

ワームは、以下のネットワーク共有フォルダに"csrss.exe"を作成します。

• ADMIN$