Email-Worm.VBS.Challenge

技術的な詳細

このワームは、MS Outlook Express 5を使用して感染します。感染したコンピュータから送信されたすべてのメッセージに自身を追加します。このワームは、通常のワームのようにメッセージには付いていませんが、その本体をVisual Basic Sc​​ript言語のスクリプトプログラムとしてメッセージに埋め込みます。感染したメッセージが被害者のコンピュータで開かれると、このプログラムは画面に表示されず、代わりに制御を受けてシステムに感染します。

ワームは、MS Outlook Expressのセキュリティを侵害するために、このコンテキストでは使用できないActiveXコントロールへのHTMLベースの電子メールメッセージアクセスのスクリプトコードを許可するセキュリティ脆弱性を利用します。マイクロソフトは、このセキュリティ上の脆弱性を排除するパッチをリリースしました。詳細については、http://www.microsoft.com/technet/securThisy/bulletin/MS00-075.aspを参照してください。この脆弱性を利用する多くのスクリプトワームからユーザーを保護するため、ユーザーがそこにあるパッチをインストールすることを強くお勧めします。

このワームは、コンピュータに2つのステップを感染させます。

最初のステップは、感染メッセージが表示され、埋め込みスクリプトプログラムが制御を取得する場合です。これにより、ワームのコピーを含むWindowsのスタートアップフォルダにTEMP.HTAファイルが作成されます。 （このワームは、Windows起動フォルダを見つけるのがより正確です。その方法は、I-Worm.KakWormのようにすべてのWindowsバージョンで機能します）。

2番目の手順は、TEMP.HTAファイルがWindowsのスタートアップフォルダに配置されるため、起動時にWindowsが実行されます。このファイルのスクリプトは、感染したメッセージと同じスクリプトを使用してWindowsシステムフォルダファイルFOLDER.HTMLに作成され、このファイルをMS Outlook Express 5のデフォルトの署名ファイルとして登録します。この時点から、送信されたすべてのメッセージコンピュータから、ワームのボディ、すなわち感染したシグネチャを含んでいます。