本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.VBS.Challenge

クラス Email-Worm
プラットフォーム VBS
説明

技術的な詳細

このワームは、MS Outlook Express 5を使用して感染します。感染したコンピュータから送信されたすべてのメッセージに自身を追加します。このワームは、通常のワームのようにメッセージには付いていませんが、その本体をVisual Basic Sc​​ript言語のスクリプトプログラムとしてメッセージに埋め込みます。感染したメッセージが被害者のコンピュータで開かれると、このプログラムは画面に表示されず、代わりに制御を受けてシステムに感染します。

ワームは、MS Outlook Expressのセキュリティを侵害するために、このコンテキストでは使用できないActiveXコントロールへのHTMLベースの電子メールメッセージアクセスのスクリプトコードを許可するセキュリティ脆弱性を利用します。マイクロソフトは、このセキュリティ上の脆弱性を排除するパッチをリリースしました。詳細については、http://www.microsoft.com/technet/securThisy/bulletin/MS00-075.aspを参照してください。この脆弱性を利用する多くのスクリプトワームからユーザーを保護するため、ユーザーがそこにあるパッチをインストールすることを強くお勧めします。

このワームは、コンピュータに2つのステップを感染させます。

最初のステップは、感染メッセージが表示され、埋め込みスクリプトプログラムが制御を取得する場合です。これにより、ワームのコピーを含むWindowsのスタートアップフォルダにTEMP.HTAファイルが作成されます。 (このワームは、Windows起動フォルダを見つけるのがより正確です。その方法は、I-Worm.KakWormのようにすべてのWindowsバージョンで機能します)。

2番目の手順は、TEMP.HTAファイルがWindowsのスタートアップフォルダに配置されるため、起動時にWindowsが実行されます。このファイルのスクリプトは、感染したメッセージと同じスクリプトを使用してWindowsシステムフォルダファイルFOLDER.HTMLに作成され、このファイルをMS Outlook Express 5のデフォルトの署名ファイルとして登録します。この時点から、送信されたすべてのメッセージコンピュータから、ワームのボディ、すなわち感染したシグネチャを含んでいます。


オリジナルへのリンク