本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Email-Worm VBS

Email-Worm.VBS.KakWorm

クラス
Email-Worm
プラットフォーム
VBS

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: VBS

Visual Basic Sc​​ripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。

説明

技術的な詳細

このワームはJavaスクリプト言語で書かれています。これは拡散のためにMS Outlook Expressを使用します。このワームは、通常のワームウイルスと同じようにメッセージには添付されませんが、スクリプトプログラムとしてメッセージにその本文を埋め込みます。

このワームは、英語版とフランス語版のWindowsでのみ動作します。また、Windowsが「C:WINDOWS」以外のディレクトリにインストールされている場合は動作しません。

ワームはMS Outlook Expressと完全に互換性があります。 MS Outlookでは、このワームはアクティブにされ、システムに感染しますが、MS Outlook Expressを対象にしてそのコピーを拡散するだけなので、それ自体をさらに広げることはできません。他の電子メールシステムでは、ワームの機能はそのシステムの機能に依存します。

ワームはシステムに感染している間に、そのコピーと共に3つの追加ファイルを作成します。まず、そのうちの2つはシステムに感染させ、最後のものは感染した電子メールを介してワームのコードを拡散させるために使用されます。

1. WindowsスタートアップフォルダのKAK.HTA
2. Windowsシステムフォルダ内のランダムな名前の.HTAファイル
3. Windowsフォルダ内のKAK.HTMファイル

ワームはペイロードルーチンを持っています。午後5時以降の1月1日に、次のメッセージが表示されます。

Kagou-Anti-Kro $ tは今日はないと言っています!

それ以降にWindowsを強制終了させる。

広がる

ワームは、HTML形式の電子メールメッセージとしてコンピュータに到着します。メッセージ本体には、ワーム本体自体のスクリプト(Javaスクリプトプログラム)が含まれています。 HTML文書ではスクリプトプログラムが表示されないため、そのプログラムは画面に表示されません。その結果、感染したメッセージを開く(またはプレビューする)と、メッセージ本文のみが表示され、ワー​​ムコードは表示されませんが、スクリプトは自動的にメーラーによって実行され、ワー​​ムは制御を受け取ります。

ワームはシステムに感染し、3つのステップで広がります。

1.このワームは、Windowsのスタートアップ(自動起動)フォルダにそのコピーをディスクファイルとして作成します。

2.ワームがWindowsスタートアップフォルダから実行されると、ワームはWindowsシステムディレクトリに移動し、その新しいコピーをシステムレジストリのauto-startセクションに登録し、Windowsスタートアップフォルダから最初のコピーを削除します。

3.ワームは、MS Outlook Expressのレジストリセクションにアクセスし、デフォルトのシグネチャとしてワームのコピーを登録します。 Outlook Expressは、送信されたすべてのメッセージを通じてワームのコードを自動的に送信します。

最初の段階では、システムレジストリではなくディスクファイルのみにアクセスできるため、レジストリキーを変更するためにディスクファイル(「ローカルイントラネットゾーン」)から実行する必要があるため、これらの手順が必要です。その後、ワームは自身のコピーをWindowsのスタートアップフォルダから削除し、そこにあるすべてのプログラムをStartProgramsStartup Menuに表示します。

拡散:ステップ1 - 感染したメッセージから実行される

ワームは、感染したメッセージから起動すると、コンピュータのローカルディスクにアクセスします。ワームは、セキュリティ保護(デフォルトではローカルディスクアクセスが禁止されています)を避けるため、 "TypeLib Security Vulnerability"という名前のセキュリティ違反を使用します。このワームは、スクリプト作成のために安全とマークされたActiveXオブジェクトを作成し、ファイルをディスクに書き込むことができます。このActiveXオブジェクトを使用することにより、ワームはディスクへの書き込みアクセス権を取得します。

次に、このワームはKAK.HTAファイルを作成し、独自のコードをそこに配置します。そのファイルはWindowsのスタートアップディレクトリに置かれ、その結果、次のWindowsの起動時に実行されます。

コメント:

HTAファイルはHTMLアプリケーションです - インストール後に表示されるファイルタイプ
Internet Explorer 5.0。 HTAファイルには、スクリプトによる通常のHTMLテキストが含まれています
実行されると、スタンドアロンアプリケーションとして実行されます。
Internet Explorerシェル。それは強力な記述の可能性を提供する
HTML内で通常のスクリプトを使用するアプリケーション

ワームは、KAK.HTAファイルを作成している間、Windowsディレクトリへの実際のパスを特定せず、常にWindowsが "C:WINDOWS"フォルダにインストールされていると仮定します。したがって、このワームは、Windowsが「C:WINDOWS」以外の別のディレクトリにインストールされているシステムに広がることはできません。ワームは、Windows起動フォルダの2種類のバリエーションを試してみます。

MENUD�〜1PROGRA〜1D�MARR〜1(フランス語Windows版のデフォルト名)
STARTM〜1ProgramsStartUp(英語版Windows版のデフォルト名)

Windowsのスタートアップディレクトリに別の名前(別のWindowsのローカライゼーションで)がある場合、ワームはそこにファイルを書き込むことができず、それ以上拡散することはできません。

普及:ステップ2 - KAK.HTAから実行

次のWindows再起動時に、Windows起動ディレクトリから "KAK.HTA"ファイルが有効になります。そのファイル内のスクリプトプログラムは、Windowsシステムディレクトリに同じHTAファイルを作成します。そのファイルにはシステム依存の名前(「9A4ADF27.HTA」など)があります。その後、ワームは各Windows起動時にそのファイルを実行するようにシステムレジストリを変更します。ユーザーがデフォルトのOutlook Expressシグネチャを変更した場合、このファイルのスクリプトはワームのコンポーネントとレジストリ設定を復元します。つまり、システムに再感染します。

「KAK.HTA」スクリプトは、内部にワームのコードのみを含む「KAK.HTM」ファイルを作成します(このHTMLページには、純粋なワームスクリプト以外のテキストは表示されません)。このファイルは、あとでメッセージを感染させるために使用されます。

最後に、スクリプトは起動ディレクトリから "KAK.HTA"を削除する "C:AUTOEXEC.BAT"ファイルコマンドを追加します。これはもはや必要ではないからです。

拡散:ステップ3 - 感染したメッセージを送信する

同じスクリプト( "KAK.HTA")がシステムレジストリを変更します。 「KAK.HTM」ファイルを参照する新しいOutlook Expressの署名が作成され、この署名がOutlook Expressの既定の署名として設定されます。その瞬間から、Outlook Expressはメッセージを作成するたびに、感染した署名をメッセージ(「KAK.HTM」ファイルの内容)に挿入します。

このワームは、HTMLメッセージ(およびこれらはMS Outlook Express)のデフォルト設定を介してのみ拡散させることができます。 RTFと "プレーンテキスト"メッセージは感染しておらず、感染することはできません。

保護

問題は、オンデマンドスキャナを使用した定期的なアンチウイルススキャンでは、このような種類のワームに対する保護が提供されないことです。感染したメッセージがOutlookで開かれるたびに、ワームが再び表示されます。さらに、Outlook Expressがプレビューペインを表示するように設定している場合は、ワームがアクティブになるためのリストから感染メッセージを選択するだけで十分です。

1.自分自身を守るために、オンアクセススキャナを使用して、自分自身をディスクに書き込む瞬間にワームを捕まえることができます。しかし、オンアクセススキャナは、電子メールのHTMLメッセージのスクリプトがシステムメモリ内で直接実行され、ディスクファイルからは格納されずに実行されるため、ワームのアクティベーションを防ぐことができません。

スクリプトプログラムが実行される直前にスクリプトプログラムをチェックするウィルス対策ユーティリティを使用するのが最善の方法です(「AVP Script Checker」を参照)。そのようなプログラムは、ワームの起動とシステム感染を防止する可能性があります。

2.自身のファイルをディスクに書き込むために、このワームはInternet Explorer 5.0のセキュリティ違反を使用します。マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。

3.職場でHTMLアプリケーション(HTA-ファイル)を使用する予定がない場合は、このタイプのウイルス(HTAファイルを使用するワームやウイルス)の感染を防ぐ別の方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。

1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。
2.表示されるウィンドウから、「表示」 - >「オプション...」メニューを選択します。
3. [登録されているファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。
4. [削除]ボタンをクリックして、動作を確認します。
5.オプションダイアログボックスを閉じます。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Related articles
19 May 2025
Kaspersky Daily
Apple、ペアレンタルコントロールを強化:子どもたちへの影響 | カスペルスキー公式ブログ
15 May 2025
Securelist
Threat landscape for industrial automation systems in Q1 2025
13 May 2025
Securelist
Using a Mythic agent to optimize penetration testing
07 May 2025
Securelist
State of ransomware in 2025
05 May 2025
Kaspersky Daily
WhatsAppがハッキングされた場合の対処方法:具体的な手順 | カスペルスキー公式ブログ
29 April 2025
Securelist
Outlaw cybergang attacking targets worldwide
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
脅威
Confirm changes?
Your message has been sent successfully.