本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.VBS.BubbleBoy

クラス Email-Worm
プラットフォーム VBS
説明

技術的な詳細

タイプ:Eメールワーム
プラットフォーム:Internet Explorer 5.0、MS Outlook 98/2000またはMS Outlook Expressを備えたMS Windows

これは、インターネット経由で感染した電子メールメッセージとして広がるインターネットウイルスワームです。ワームは添付ファイルなしのメッセージとして到着し、ワームはメッセージ本体からコードを直接アクティブ化するためにいくつかのトリックを使用します。このメッセージが開かれると、ワームコードが制御され、システムリソース(ディスクファイルとシステムレジストリ)にアクセスし、Outlookアドレス帳を処理し、感染したメッセージをこれらのアドレスに送信します( Macro.Word97.Melissaウイルス)。

これは、データが添付されていないコピーを展開する、最初に知られた最新のインターネットワームです。他のインターネットワームの場合と同様に、ユーザーはワームのルーチンをアクティブにするために添付ファイルを開く必要があります。ワームのルーチンは、メッセージ自体が開かれた瞬間を制御します。

欺瞞

そのコピーを広めるために、このワームは2つの欺瞞手段を使用します。最初のものは、HTML形式のメッセージの作成を可能にするMS Outlookの機能です。 HTMLメッセージには、HTMLメッセージが表示されている(ユーザーがメッセージを開く)ときに自動的に実行されるスクリプトが含まれている場合があります。ワームは、感染したメッセージが開かれたときにこの機能を使用してコードを実行します。

そのコピーをさらに広め、Internet Explorerのセキュリティをバイパスするために、このワームは別のトリックを使用します。現時点では、これは「Scriptlet.Typelib」セキュリティ脆弱性と呼ばれています。

このセキュリティ違反により、HTMLスクリプトはディスクファイルを作成できます。ワームは、この侵害を利用して、主なワームコードを含むHTAファイル(HTMLアプリケーション、IE5で登場した新しいタイプ)を作成します。このファイルはStartup Windowsフォルダに作成され、その結果、次のWindows起動時に有効になります。このHTMLのワームのスクリプトは、ローカルディスクファイルとして実行され、Internet Explorerセキュリティ警告メッセージなしでディスクファイルとリソースにアクセスし、Outlookアドレス帳に接続し、自身を拡散します。

技術的な詳細

ユーザーが感染したメッセージを開くと、このメッセージ本文に埋め込まれたワームスクリプトが自動的にアクティブにされ、MS Outlookによって実行されます。このスクリプト(セキュリティ違反を使用)は、 "C:WINDOWSSTART MENUPROGRAMSSTARTUP"ディレクトリに "UPDATE.HTA"ファイルを作成します。これは、ワームが "C:WINDOWSMENU INICIOPROGRAMASINICIO"ディレクトリ(スペインのWindowsのデフォルト名)に作成しようとしているのと同じファイルです。

この "UPDATE.HTA"ファイルには、メインのワームコードが含まれています。 Startupフォルダ内の場所のため、次のWindows起動時に実行されます。このワームには、Windowsが常にC:WINDOWSディレクトリにインストールされていることが前提です。そうでない場合、ワームはそのファイルを作成することができず、さらに複製することができません。

ワームは、UPDATE.HTAファイルが実行されると、隠しウィンドウでOutlookアプリケーションを実行し、「Melissa」ウイルスと同じ方法で、Outlookアドレス帳からすべての受信者に新しいメッセージを作成します。この新しいメッセージにはHTML形式があり、本文にワームのスクリプトが含まれています。メッセージの件名は「BubbleBoy back!」で、本文は次のように表示されます。

 バブルボーイの事件、写真、音
 http://www.towns.com/dorms/tom/bblboy.htm

このメッセージが送信されると、重複したメッセージが送信されるのを防ぐために、システムレジストリキーに次のものが作成されます。

 "HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 by Zulu"

最後に、ワームは画面上に以下のテキストを含むウィンドウを残します。

  システムエラー、これを解決するためにスタートアップフォルダから "UPDATE.HTA"を削除する
  問題。

ワームは、Windows登録データも変更します(このルーチンは、UPDATE.HTAスクリプトが制御する瞬間に実行されます)。

  RegisteredOwner = "バブルボーイ"
  RegisteredOrganization = "Vandelay Industries"

保護

マイクロソフトはセキュリティ「Scriptlet.Typelib」の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。

HTMLアプリケーション(HTAファイル)を使用しない場合、このタイプのウイルス(「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス)による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。

  1. デスクトップ上の[マイコンピュータ]アイコンをダブルクリックします。
  2. 開いているウィンドウで、「表示」 – >「オプション…」メニューを選択します。
  3. [登録されたファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。
  4. [削除]ボタンをクリックして操作を確認します。
  5. オプションを閉じるダイアログボックス。

オリジナルへのリンク