Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは電子メールメッセージに添付されたVBSファイルとして広がるインターネットワームです。感染したメッセージを送信するために、MS Outlookを使用します。ワームは、mIRCクライアントに感染させることによって、そのコピーをIRCチャネルに送信することもできます。

感染したメッセージの添付ファイルをダブルクリックするか、IRCのダウンロードとして受け入れることで、ワームファイルがアクティブになると、RUNDLL32.VBSという名前のWindowsディレクトリにそのコードをコピーして登録することで、自身をシステムにインストールしますWindowsレジストリ内の自動実行セクションで：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
MSrundll32 = rundll32.vbs

その結果、Windowsが起動するたびにワームがアクティブになります。

電子メールメッセージ

ワームはそのコピーを郵送中にMS Outlookに接続し、アドレス帳にアクセスし、そこに記載されているすべてのアドレスにそのコピーを送信します。システム構成によっては、メッセージのSubjectとBodyが異なります。ドイツ語Windows版では、メッセージは次のように表示されます。

件名： Moin、alles klar？
身体：こんにちは、あなたのお元気ですか？
グアイ・ダール・マル・ダス・フォト・イ・アンハン・アン・アイ・エッチ・ゲイル;）
bye、bis dann ..

ドイツ語以外のWindowsの場合：

件名： こんにちは、 元気？
本文：こんにちは、添付された素敵な写真を見てください！
それを見ることは必須です;）
また後でな…

添付ファイル名は8種類からランダムに選択されます：

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE !!!。JPG.vbs
CuteJany__BigTits！.GIF.vbs
MyGirlfriend__NUDE！.JPG.vbs
Aguiliera__NUDE !!。JPG.vbs
！Jany__Gets-fucked !.GIF.vbs
cute__EmmaPeel !!!。JPG.vbs
Julie17__xxx.GIF.vbs

同じ（ランダムに選択された）名前を持つワームのコピーもWindowsディレクトリに作成されます（このコピーは感染したメッセージに添付されています）。

IRC感染

IRCチャネルに広がるために、このワームは、mIRCディレクトリにSCRIPT.INI mIRCシステムファイルを作成します（インストールされている場合）。このワームは、C：MIRCディレクトリと、「Program Files」内のMIRCディレクトリを探します。 mIRCがインストールされている場合、ワームは新しいSCRIPT.INIファイルをそこにドロップします。このファイルには、感染したチャネルに侵入したすべての人にワームファイルを送信する一連の命令が含まれています。

mIRCスクリプトも：

一時的にWindowsから上記のランダムな名前のWindowsシステムディレクトリに移動します（IRDCチャネルから切断すると、同じRUNDLL32.VBS名のWindowsディレクトリにVBSファイルが戻されます）
"Burn、Burn、Burn :)"というメッセージを "ウイルス"会議に送信します。
現在の会議でウイルスに似たメッセージを隠す（「スクリプト」、「ウイルス」、「ワーム」のいずれかの単語を含むメッセージは無視する）
チャットでテキスト "die lamer"が表示されたら、スクリプトは "I'll commit suicide！RIP"というメッセージでチャンネルを終了します。
テキスト「火」に「Burn Burn Burn :)」と表示されます

ペイロードルーチン

ペイロードルーチンは6月20日に起動されます。次のメッセージが表示されます。

FireburN
私はあなたがFireburNに感染していると言うことを誇りに思っています！

次の2つのシステムレジストリキーを変更してキーボードとマウスを無効にします。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up = "rundll32 mouse、disable"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up2 = "rundll32 keyboard、disable"

その他

ワームは、 "MyComputer / Properties"の "Registered Owner"フィールドも変更します。新しい値は "FireburN"です。これは、次のレジストリキーを変更することによって行われます。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = FireburN

ワームコードには、「著作権」テキストも含まれています。

VBS.FIREBURN.A – fireburnによってコード化されたmIRC / Outlookワーム
多態性：各開始時に実際のファイル名を変更する…
「UnCreativeLabs」の全メンバーにgreets：

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	VBS
説明	技術的な詳細これは電子メールメッセージに添付されたVBSファイルとして広がるインターネットワームです。感染したメッセージを送信するために、MS Outlookを使用します。ワームは、mIRCクライアントに感染させることによって、そのコピーをIRCチャネルに送信することもできます。感染したメッセージの添付ファイルをダブルクリックするか、IRCのダウンロードとして受け入れることで、ワームファイルがアクティブになると、RUNDLL32.VBSという名前のWindowsディレクトリにそのコードをコピーして登録することで、自身をシステムにインストールしますWindowsレジストリ内の自動実行セクションで： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun MSrundll32 = rundll32.vbs その結果、Windowsが起動するたびにワームがアクティブになります。電子メールメッセージワームはそのコピーを郵送中にMS Outlookに接続し、アドレス帳にアクセスし、そこに記載されているすべてのアドレスにそのコピーを送信します。システム構成によっては、メッセージのSubjectとBodyが異なります。ドイツ語Windows版では、メッセージは次のように表示されます。件名： Moin、alles klar？身体：こんにちは、あなたのお元気ですか？グアイ・ダール・マル・ダス・フォト・イ・アンハン・アン・アイ・エッチ・ゲイル;） bye、bis dann .. ドイツ語以外のWindowsの場合：件名：こんにちは、元気？本文：こんにちは、添付された素敵な写真を見てください！それを見ることは必須です;）また後でな… 添付ファイル名は8種類からランダムに選択されます： Ultra-Hardcore-Bondage.JPG.vbs Christina__NUDE !!!。JPG.vbs CuteJany__BigTits！.GIF.vbs MyGirlfriend__NUDE！.JPG.vbs Aguiliera__NUDE !!。JPG.vbs ！Jany__Gets-fucked !.GIF.vbs cute__EmmaPeel !!!。JPG.vbs Julie17__xxx.GIF.vbs 同じ（ランダムに選択された）名前を持つワームのコピーもWindowsディレクトリに作成されます（このコピーは感染したメッセージに添付されています）。 IRC感染 IRCチャネルに広がるために、このワームは、mIRCディレクトリにSCRIPT.INI mIRCシステムファイルを作成します（インストールされている場合）。このワームは、C：MIRCディレクトリと、「Program Files」内のMIRCディレクトリを探します。 mIRCがインストールされている場合、ワームは新しいSCRIPT.INIファイルをそこにドロップします。このファイルには、感染したチャネルに侵入したすべての人にワームファイルを送信する一連の命令が含まれています。 mIRCスクリプトも：一時的にWindowsから上記のランダムな名前のWindowsシステムディレクトリに移動します（IRDCチャネルから切断すると、同じRUNDLL32.VBS名のWindowsディレクトリにVBSファイルが戻されます） "Burn、Burn、Burn :)"というメッセージを "ウイルス"会議に送信します。現在の会議でウイルスに似たメッセージを隠す（「スクリプト」、「ウイルス」、「ワーム」のいずれかの単語を含むメッセージは無視する）チャットでテキスト "die lamer"が表示されたら、スクリプトは "I'll commit suicide！RIP"というメッセージでチャンネルを終了します。テキスト「火」に「Burn Burn Burn :)」と表示されますペイロードルーチンペイロードルーチンは6月20日に起動されます。次のメッセージが表示されます。 FireburN 私はあなたがFireburNに感染していると言うことを誇りに思っています！次の2つのシステムレジストリキーを変更してキーボードとマウスを無効にします。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up = "rundll32 mouse、disable" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Shut_Up2 = "rundll32 keyboard、disable" その他ワームは、 "MyComputer / Properties"の "Registered Owner"フィールドも変更します。新しい値は "FireburN"です。これは、次のレジストリキーを変更することによって行われます。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = FireburN ワームコードには、「著作権」テキストも含まれています。 VBS.FIREBURN.A – fireburnによってコード化されたmIRC / Outlookワーム多態性：各開始時に実際のファイル名を変更する… 「UnCreativeLabs」の全メンバーにgreets：
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.VBS.Fireburn

技術的な詳細

電子メールメッセージ

IRC感染

ペイロードルーチン

その他