本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Email-Worm VBS

Email-Worm.VBS.BubbleBoy

クラス
Email-Worm
プラットフォーム
VBS

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: VBS

Visual Basic Sc​​ripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。

説明

技術的な詳細

タイプ:Eメールワーム
プラットフォーム:Internet Explorer 5.0、MS Outlook 98/2000またはMS Outlook Expressを備えたMS Windows

これは、インターネット経由で感染した電子メールメッセージとして広がるインターネットウイルスワームです。ワームは添付ファイルなしのメッセージとして到着し、ワームはメッセージ本体からコードを直接アクティブ化するためにいくつかのトリックを使用します。このメッセージが開かれると、ワームコードが制御され、システムリソース(ディスクファイルとシステムレジストリ)にアクセスし、Outlookアドレス帳を処理し、感染したメッセージをこれらのアドレスに送信します( Macro.Word97.Melissaウイルス)。

これは、データが添付されていないコピーを展開する、最初に知られた最新のインターネットワームです。他のインターネットワームの場合と同様に、ユーザーはワームのルーチンをアクティブにするために添付ファイルを開く必要があります。ワームのルーチンは、メッセージ自体が開かれた瞬間を制御します。

欺瞞

そのコピーを広めるために、このワームは2つの欺瞞手段を使用します。最初のものは、HTML形式のメッセージの作成を可能にするMS Outlookの機能です。 HTMLメッセージには、HTMLメッセージが表示されている(ユーザーがメッセージを開く)ときに自動的に実行されるスクリプトが含まれている場合があります。ワームは、感染したメッセージが開かれたときにこの機能を使用してコードを実行します。

そのコピーをさらに広め、Internet Explorerのセキュリティをバイパスするために、このワームは別のトリックを使用します。現時点では、これは「Scriptlet.Typelib」セキュリティ脆弱性と呼ばれています。

このセキュリティ違反により、HTMLスクリプトはディスクファイルを作成できます。ワームは、この侵害を利用して、主なワームコードを含むHTAファイル(HTMLアプリケーション、IE5で登場した新しいタイプ)を作成します。このファイルはStartup Windowsフォルダに作成され、その結果、次のWindows起動時に有効になります。このHTMLのワームのスクリプトは、ローカルディスクファイルとして実行され、Internet Explorerセキュリティ警告メッセージなしでディスクファイルとリソースにアクセスし、Outlookアドレス帳に接続し、自身を拡散します。

技術的な詳細

ユーザーが感染したメッセージを開くと、このメッセージ本文に埋め込まれたワームスクリプトが自動的にアクティブにされ、MS Outlookによって実行されます。このスクリプト(セキュリティ違反を使用)は、 "C:WINDOWSSTART MENUPROGRAMSSTARTUP"ディレクトリに "UPDATE.HTA"ファイルを作成します。これは、ワームが "C:WINDOWSMENU INICIOPROGRAMASINICIO"ディレクトリ(スペインのWindowsのデフォルト名)に作成しようとしているのと同じファイルです。

この "UPDATE.HTA"ファイルには、メインのワームコードが含まれています。 Startupフォルダ内の場所のため、次のWindows起動時に実行されます。このワームには、Windowsが常にC:WINDOWSディレクトリにインストールされていることが前提です。そうでない場合、ワームはそのファイルを作成することができず、さらに複製することができません。

ワームは、UPDATE.HTAファイルが実行されると、隠しウィンドウでOutlookアプリケーションを実行し、「Melissa」ウイルスと同じ方法で、Outlookアドレス帳からすべての受信者に新しいメッセージを作成します。この新しいメッセージにはHTML形式があり、本文にワームのスクリプトが含まれています。メッセージの件名は「BubbleBoy back!」で、本文は次のように表示されます。 

 バブルボーイの事件、写真、音 http://www.towns.com/dorms/tom/bblboy.htm

このメッセージが送信されると、重複したメッセージが送信されるのを防ぐために、システムレジストリキーに次のものが作成されます。 

 "HKEY_LOCAL_MACHINESoftwareOUTLOOK.BubbleBoy" = "OUTLOOK.BubbleBoy 1.0 by Zulu"

最後に、ワームは画面上に以下のテキストを含むウィンドウを残します。 

  システムエラー、これを解決するためにスタートアップフォルダから "UPDATE.HTA"を削除する  問題。

ワームは、Windows登録データも変更します(このルーチンは、UPDATE.HTAスクリプトが制御する瞬間に実行されます)。 

  RegisteredOwner = "バブルボーイ"  RegisteredOrganization = "Vandelay Industries"

保護

マイクロソフトはセキュリティ「Scriptlet.Typelib」の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。

HTMLアプリケーション(HTAファイル)を使用しない場合、このタイプのウイルス(「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス)による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。

  1. デスクトップ上の[マイコンピュータ]アイコンをダブルクリックします。
  2. 開いているウィンドウで、「表示」 - >「オプション...」メニューを選択します。
  3. [登録されたファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。
  4. [削除]ボタンをクリックして操作を確認します。
  5. オプションを閉じるダイアログボックス。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Kaspersky IT Security Calculator
も参照してください
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Kaspersky Daily
メモを安全に管理する:暗号化を実装したメモ帳アプリ | カスペルスキー公式ブログ
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Kaspersky Daily
写真や動画の本物と偽物を見分ける新しい方法 | カスペルスキー公式ブログ
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
脅威
Confirm changes?
Your message has been sent successfully.