本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.VBS.Fireburn

クラス Email-Worm
プラットフォーム VBS
説明

技術的な詳細

これは電子メールメッセージに添付されたVBSファイルとして広がるインターネットワームです。感染したメッセージを送信するために、MS Outlookを使用します。ワームは、mIRCクライアントに感染させることによって、そのコピーをIRCチャネルに送信することもできます。

感染したメッセージの添付ファイルをダブルクリックするか、IRCのダウンロードとして受け入れることで、ワームファイルがアクティブになると、RUNDLL32.VBSという名前のWindowsディレクトリにそのコードをコピーして登録することで、自身をシステムにインストールしますWindowsレジストリ内の自動実行セクションで:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
MSrundll32 = rundll32.vbs

その結果、Windowsが起動するたびにワームがアクティブになります。

電子メールメッセージ

ワームはそのコピーを郵送中にMS Outlookに接続し、アドレス帳にアクセスし、そこに記載されているすべてのアドレスにそのコピーを送信します。システム構成によっては、メッセージのSubjectとBodyが異なります。ドイツ語Windows版では、メッセージは次のように表示されます。

件名Moin、alles klar?
身体こんにちは、あなたのお元気ですか?
グアイ・ダール・マル・ダス・フォト・イ・アンハン・アン・アイ・エッチ・ゲイル;)
bye、bis dann ..

ドイツ語以外のWindowsの場合:

件名こんにちは、 元気
本文こんにちは、添付された素敵な写真を見てください!
それを見ることは必須です;)
また後でな…

添付ファイル名は8種類からランダムに選択されます:

Ultra-Hardcore-Bondage.JPG.vbs
Christina__NUDE !!!。JPG.vbs
CuteJany__BigTits!.GIF.vbs
MyGirlfriend__NUDE!.JPG.vbs
Aguiliera__NUDE !!。JPG.vbs
!Jany__Gets-fucked !.GIF.vbs
cute__EmmaPeel !!!。JPG.vbs
Julie17__xxx.GIF.vbs

同じ(ランダムに選択された)名前を持つワームのコピーもWindowsディレクトリに作成されます(このコピーは感染したメッセージに添付されています)。

IRC感染

IRCチャネルに広がるために、このワームは、mIRCディレクトリにSCRIPT.INI mIRCシステムファイルを作成します(インストールされている場合)。このワームは、C:MIRCディレクトリと、「Program Files」内のMIRCディレクトリを探します。 mIRCがインストールされている場合、ワームは新しいSCRIPT.INIファイルをそこにドロップします。このファイルには、感染したチャネルに侵入したすべての人にワームファイルを送信する一連の命令が含まれています。

mIRCスクリプトも:

  • 一時的にWindowsから上記のランダムな名前のWindowsシステムディレクトリに移動します(IRDCチャネルから切断すると、同じRUNDLL32.VBS名のWindowsディレクトリにVBSファイルが戻されます)
  • "Burn、Burn、Burn :)"というメッセージを "ウイルス"会議に送信します。
  • 現在の会議でウイルスに似たメッセージを隠す(「スクリプト」、「ウイルス」、「ワーム」のいずれかの単語を含むメッセージは無視する)
  • チャットでテキスト "die lamer"が表示されたら、スクリプトは "I'll commit suicide!RIP"というメッセージでチャンネルを終了します。
  • テキスト「火」に「Burn Burn Burn :)」と表示されます

ペイロードルーチン

ペイロードルーチンは6月20日に起動されます。次のメッセージが表示されます。

FireburN
私はあなたがFireburNに感染していると言うことを誇りに思っています!

次の2つのシステムレジストリキーを変更してキーボードとマウスを無効にします。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up = "rundll32 mouse、disable"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Shut_Up2 = "rundll32 keyboard、disable"

その他

ワームは、 "MyComputer / Properties"の "Registered Owner"フィールドも変更します。新しい値は "FireburN"です。これは、次のレジストリキーを変更することによって行われます。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RegisteredOwner = FireburN

ワームコードには、「著作権」テキストも含まれています。

VBS.FIREBURN.A – fireburnによってコード化されたmIRC / Outlookワーム
多態性:各開始時に実際のファイル名を変更する…
「UnCreativeLabs」の全メンバーにgreets:


オリジナルへのリンク