本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.VBS.Horillka

クラス Email-Worm
プラットフォーム VBS
説明

技術的な詳細

この悪質なワームは、感染したメッセージに添付されたファイルの形でインターネット経由で広がります。これは、25562バイトのエンコードされたVBSスクリプトです。

Horilkaをダウンロードすると、それ自体が解読されます。

WinSys32dll.vbsという名前でWindowsシステムディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinsSys32dll。 

ウイルス大量メールは、Microsoft Outlookのアドレス帳にあるすべてのアドレスをメールします。

感染したメッセージの特徴:

メッセージヘッダー:

 ��������! 

メッセージ本文:

 �����������������������������������������������Windows !
 ��������������������、���������������� 。
 �������������������������� - �����、��� �������������� 
vb�js������、������������������������������� ���。
 ������������������������������������������ ������������� 
 ��������������������������。 

添付ファイル:

VBSスクリプト、

 WinSys32.dll.vbs 

メッセージが送信されると、Windowsディレクトリにあるすべての.pwl(パスワード)ファイルを含むメッセージが作成者に送信されます。

各ユーザーの構成がロードされると、メッセージが1回送信されます。

このウイルスは、すべてのディスクおよびFolderdll.vbsという名前のすべてのディレクトリに自身をコピーし、これらのファイルを隠しファイルとしてマークします。

Windowsフォルダ内の次の拡張子を持つファイルを検索します。

 .vbs
.jpg
.jpeg
.gif
.bmp
.htm
.html
.avc
。TXT
.doc
.mp3
.wav
.dbf 

Horilkaは.vbsファイルを独自のコードで上書きします。

これは、.jpg、.jpeg、.gif、.bmpファイルを、ウイルス本体に含まれるGIF形式のグラフィックに置き換えます。

.htmファイルと.htmlファイルに次のコードを追加します。


.avcファイルは次のフレーズで上書きされます。

 Vyatkaはここにいた

.txtファイルと.docファイルは、次のテキストで上書きされます。

 ����������������! ��������������������� - �������。
   親愛なる友人!あなたはVyatka(ロシアの深いお尻に位置しています)からのウイルスによってハッキングされました。
   .. :: Xpi1oT :: .. 

.mp3および.wavファイルは、ワームの本体に含まれるサウンドファイルに置き換えられます

ワームは拡張子が.dbfのファイルを検出すると、そのファイルを削除します

ウィルスは、アナウンスメントを表示するようにコード化されています。

 COOOOOOOOL 

毎年12月11日に、autoexec.batファイルを次のテキストで上書きします。

 @Windowsはあなたのシステムをアップグレードしています...
   @お待ちください
   形式c:/ autotest / q / u
   @お待ちください...
   形式d:/ autotest / q / u
   @あなたのシステムはVyatkaからのウイルスによってハッキングされました(ロシアの深いお尻に位置しています) 

これが行われると、システムが再起動し、C:ハードディスクが形成されます。


オリジナルへのリンク