Email-Worm.VBS.Davinia

技術的な詳細

このインターネットワームは、MS OutlookとMS Word 2000を使用して電子メールメッセージを介して広がります。

ワームは、電子メールメッセージとしてHTML形式でコンピュータに到着します。メッセージの件名と本文は空ですが、メッセージが表示されたときに自動的に実行されるスペイン語のメッセージスクリプトがあります。新しいブラウザウィンドウを開き、ワームのインターネットサイトからページをダウンロードします。

読み込まれたページには、マクロが同じサイトに配置されたMicrosoft Word文書を開く別のスクリプトが含まれています。ワームは、マクロウイルス対策警告を回避するために、「Office 2000 UA Control」の脆弱性を悪用し、ユーザーの確認なしに、Microsoft Word 2000マクロウイルス対策を無効にすることを許可しています。 （「Office 2000 UA Control」の脆弱性に関する詳細はhttp://www.microsoft.com/technet/security/bulletin/ms00-034.aspを参照してください ）

Microsoft Word文書のマクロは、文書を開くと自動的に実行されます。 Microsoft Outlookにアクセスし、Outlookのアドレス帳からアドレスを抽出し、電子メールメッセージを送信します。送信されたメッセージは上記と同じです。したがって、ワーム自体（ドキュメント内のマクロ）は常にインターネットサイトの同じエリアに配置されます。送信済みメッセージには、このサイトへのリンクのみが含まれています。ワームのサイトにアクセスできない場合は、ワームは拡散できなくなります。

ワームは危険なペイロードルーチンを持っています。メッセージを送信した後、マクロは "littledavinia.vbs"という名前のWindowsにシステムディレクトリファイルを作成し、各Windows起動時にこのファイルを実行するようにシステムレジストリを変更します。このファイルのスクリプトは、すべてのディスクのすべてのデータを破壊します。すべてのファイルをHTMLページで上書きします。アクティブ化すると、ページに次のメッセージが表示されます。

マイクロソフトは「Office 2000 UA Control」の脆弱性を排除するアップデートをリリースしました。 http://officeupdate.microsoft.com/2000/downloadDetails/Uactlsec.htmにアクセスしてこの更新プログラムをインストールすることを強くお勧めします。