Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

この悪質なプログラムはHTML電子メールワームです。アドレス帳のすべての電子メールアドレスに自分自身を送信します。 5月31日に、ワームはWin9xシステムのグラフィカルユーザーインターフェイスを無効にします。サイズは1,889バイトです。 JavaScriptで書かれています。

インストール

インストール時には、以下の名前で自身を犠牲PCにコピーします。

 C：Recycledstacey.htm

ペイロード

ワームは、以下のキーをインストールすることにより、Outlook Express経由で送信されたメッセージのメッセージ署名を置き換えます。

外部ファイルからのシグネチャの使用を許可します。
[HKCUIdentities％ID_ïîëüçîâàòòëë％SoftwareMicrosoftOutlook Express5.0]
"署名フラグ" = "3"
"00000000"と定義された既定の署名を使用するようにOutlook Expressを構成します。
[HKCUIdentities％ID_ïîëüçîâàòòòëë％SoftwareMicrosoftOutlook Express5.0signatures]
"Default Signature" = "00000000"
ワームファイルから署名 "00000000"を読み込むためのシステムレジストリをインストールします：
[HKCUIdentities％ID_Iîëüçîâàòòëëë％SoftwareMicrosoftOutlook Express5.0signatures 0000000]
"name" = "Signature＃1"
"type" = "2"
"text" = ""
"file" = "C：RECYCLEDSTACEY.HTM"

ワームは、MS Outlookを使用して、アドレス帳からすべてのアドレスに電子メールを送信します。

メッセージの件名：「これをチェック！

メッセージ本文には、次のファイルのテキストが含まれています。C：Recycledstacey.htm

ワームは、メッセージが郵送されたことを示すキーをインストールします。
```
 [HKCUSoftwareJS.Stacey]
"Mailed" = "うん！" 
```
感染したメッセージが開かれるたびに、またはOutlook Expressが起動するたびに、ワームは現在のシステム日付をチェックします。毎年5月31日にWin9xシステムでグラフィカルユーザーインターフェイスが無効になります。

削除手順

コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。
1. 元のワームファイルを削除します（場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります）。
2. 次のレジストリキーを削除します。
  
  [HKCUIdentities％ID_ïîëüçîâàòòëë％SoftwareMicrosoftOutlook Express5.0]
  "署名フラグ" = "3"
  
  [HKCUIdentities％ID_ïîëüçîâàòòòëë％SoftwareMicrosoftOutlook Express5.0signatures]
  "Default Signature" = "00000000"
  
  [HKCUIdentities％ID_ïîëüçîâàòòòëë％SoftwareMicrosoftOutlook Express5.0signatures 00000000]
  "name" = "Signature＃1"
  "type" = "2"
  "text" = ""
  "file" = "C：RECYCLEDSTACEY.HTM"
  
  [HKCUSoftwareJS.Stacey]
3. 次のファイルを削除します。
```
 C：Recycledstacey.htm 
```
4. Outlook Expressでの自動署名挿入の構成を変更します。
5. ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します（Kaspersky Anti-Virusの試用版をダウンロードしてください）。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	JS
説明	技術的な詳細この悪質なプログラムはHTML電子メールワームです。アドレス帳のすべての電子メールアドレスに自分自身を送信します。 5月31日に、ワームはWin9xシステムのグラフィカルユーザーインターフェイスを無効にします。サイズは1,889バイトです。 JavaScriptで書かれています。インストールインストール時には、以下の名前で自身を犠牲PCにコピーします。 C：Recycledstacey.htm ペイロードワームは、以下のキーをインストールすることにより、Outlook Express経由で送信されたメッセージのメッセージ署名を置き換えます。外部ファイルからのシグネチャの使用を許可します。 [HKCUIdentities％ID_ïîëüçîâàòòëë％SoftwareMicrosoftOutlook Express5.0] "署名フラグ" = "3" "00000000"と定義された既定の署名を使用するようにOutlook Expressを構成します。 [HKCUIdentities％ID_ïîëüçîâàòòòëë％SoftwareMicrosoftOutlook Express5.0signatures] "Default Signature" = "00000000" ワームファイルから署名 "00000000"を読み込むためのシステムレジストリをインストールします： [HKCUIdentities％ID_Iîëüçîâàòòëëë％SoftwareMicrosoftOutlook Express5.0signatures 0000000] "name" = "Signature＃1" "type" = "2" "text" = "" "file" = "C：RECYCLEDSTACEY.HTM" ワームは、MS Outlookを使用して、アドレス帳からすべてのアドレスに電子メールを送信します。メッセージの件名：「これをチェック！メッセージ本文には、次のファイルのテキストが含まれています。C：Recycledstacey.htm ワームは、メッセージが郵送されたことを示すキーをインストールします。 [HKCUSoftwareJS.Stacey] "Mailed" = "うん！" 感染したメッセージが開かれるたびに、またはOutlook Expressが起動するたびに、ワームは現在のシステム日付をチェックします。毎年5月31日にWin9xシステムでグラフィカルユーザーインターフェイスが無効になります。削除手順コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。元のワームファイルを削除します（場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります）。次のレジストリキーを削除します。 [HKCUIdentities％ID_ïîëüçîâàòòëë％SoftwareMicrosoftOutlook Express5.0] "署名フラグ" = "3" [HKCUIdentities％ID_ïîëüçîâàòòòëë％SoftwareMicrosoftOutlook Express5.0signatures] "Default Signature" = "00000000" [HKCUIdentities％ID_ïîëüçîâàòòòëë％SoftwareMicrosoftOutlook Express5.0signatures 00000000] "name" = "Signature＃1" "type" = "2" "text" = "" "file" = "C：RECYCLEDSTACEY.HTM" [HKCUSoftwareJS.Stacey] 次のファイルを削除します。 C：Recycledstacey.htm Outlook Expressでの自動署名挿入の構成を変更します。ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します（Kaspersky Anti-Virusの試用版をダウンロードしてください）。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.JS.Sigbug

技術的な詳細

インストール

ペイロード

削除手順