親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: VBS
Visual Basic Scripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。説明
技術的な詳細
タイプ:Eメールワーム
プラットフォーム:Internet Explorer 5.0、MS Outlook 98/2000またはMS Outlook Expressを備えたMS Windows
これは、インターネット経由で感染した電子メールメッセージとして広がるインターネットウイルスワームです。ワームは添付ファイルなしのメッセージとして到着し、ワームはメッセージ本体からコードを直接アクティブ化するためにいくつかのトリックを使用します。このメッセージが開かれると、ワームコードが制御され、システムリソース(ディスクファイルとシステムレジストリ)にアクセスし、Outlookアドレス帳を処理し、感染したメッセージをこれらのアドレスに送信します( Macro.Word97.Melissaウイルス)。
これは、データが添付されていないコピーを展開する、最初に知られた最新のインターネットワームです。他のインターネットワームの場合と同様に、ユーザーはワームのルーチンをアクティブにするために添付ファイルを開く必要があります。ワームのルーチンは、メッセージ自体が開かれた瞬間を制御します。
欺瞞
そのコピーを広めるために、このワームは2つの欺瞞手段を使用します。最初のものは、HTML形式のメッセージの作成を可能にするMS Outlookの機能です。 HTMLメッセージには、HTMLメッセージが表示されている(ユーザーがメッセージを開く)ときに自動的に実行されるスクリプトが含まれている場合があります。ワームは、感染したメッセージが開かれたときにこの機能を使用してコードを実行します。
そのコピーをさらに広め、Internet Explorerのセキュリティをバイパスするために、このワームは別のトリックを使用します。現時点では、これは「Scriptlet.Typelib」セキュリティ脆弱性と呼ばれています。
このセキュリティ違反により、HTMLスクリプトはディスクファイルを作成できます。ワームは、この侵害を利用して、主なワームコードを含むHTAファイル(HTMLアプリケーション、IE5で登場した新しいタイプ)を作成します。このファイルはStartup Windowsフォルダに作成され、その結果、次のWindows起動時に有効になります。このHTMLのワームのスクリプトは、ローカルディスクファイルとして実行され、Internet Explorerセキュリティ警告メッセージなしでディスクファイルとリソースにアクセスし、Outlookアドレス帳に接続し、自身を拡散します。
技術的な詳細
ユーザーが感染したメッセージを開くと、このメッセージ本文に埋め込まれたワームスクリプトが自動的にアクティブにされ、MS Outlookによって実行されます。このスクリプト(セキュリティ違反を使用)は、 "C:WINDOWSSTART MENUPROGRAMSSTARTUP"ディレクトリに "UPDATE.HTA"ファイルを作成します。これは、ワームが "C:WINDOWSMENU INICIOPROGRAMASINICIO"ディレクトリ(スペインのWindowsのデフォルト名)に作成しようとしているのと同じファイルです。
この "UPDATE.HTA"ファイルには、メインのワームコードが含まれています。 Startupフォルダ内の場所のため、次のWindows起動時に実行されます。このワームには、Windowsが常にC:WINDOWSディレクトリにインストールされていることが前提です。そうでない場合、ワームはそのファイルを作成することができず、さらに複製することができません。
ワームは、UPDATE.HTAファイルが実行されると、隠しウィンドウでOutlookアプリケーションを実行し、「Melissa」ウイルスと同じ方法で、Outlookアドレス帳からすべての受信者に新しいメッセージを作成します。この新しいメッセージにはHTML形式があり、本文にワームのスクリプトが含まれています。メッセージの件名は「BubbleBoy back!」で、本文は次のように表示されます。
バブルボーイの事件、写真、音 http://www.towns.com/dorms/tom/bblboy.htm
このメッセージが送信されると、重複したメッセージが送信されるのを防ぐために、システムレジストリキーに次のものが作成されます。
"HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 by Zulu"
最後に、ワームは画面上に以下のテキストを含むウィンドウを残します。
システムエラー、これを解決するためにスタートアップフォルダから "UPDATE.HTA"を削除する 問題。
ワームは、Windows登録データも変更します(このルーチンは、UPDATE.HTAスクリプトが制御する瞬間に実行されます)。
RegisteredOwner = "バブルボーイ" RegisteredOrganization = "Vandelay Industries"
保護
マイクロソフトはセキュリティ「Scriptlet.Typelib」の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。
HTMLアプリケーション(HTAファイル)を使用しない場合、このタイプのウイルス(「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス)による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。
- デスクトップ上の[マイコンピュータ]アイコンをダブルクリックします。
- 開いているウィンドウで、「表示」 - >「オプション...」メニューを選択します。
- [登録されたファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。
- [削除]ボタンをクリックして操作を確認します。
- オプションを閉じるダイアログボックス。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com