Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このワームはJavaスクリプト言語で書かれています。これは拡散のためにMS Outlook Expressを使用します。このワームは、通常のワームウイルスと同じようにメッセージには添付されませんが、スクリプトプログラムとしてメッセージにその本文を埋め込みます。

このワームは、英語版とフランス語版のWindowsでのみ動作します。また、Windowsが「C：WINDOWS」以外のディレクトリにインストールされている場合は動作しません。

ワームはMS Outlook Expressと完全に互換性があります。 MS Outlookでは、このワームはアクティブにされ、システムに感染しますが、MS Outlook Expressを対象にしてそのコピーを拡散するだけなので、それ自体をさらに広げることはできません。他の電子メールシステムでは、ワームの機能はそのシステムの機能に依存します。

ワームはシステムに感染している間に、そのコピーと共に3つの追加ファイルを作成します。まず、そのうちの2つはシステムに感染させ、最後のものは感染した電子メールを介してワームのコードを拡散させるために使用されます。

1. WindowsスタートアップフォルダのKAK.HTA
2. Windowsシステムフォルダ内のランダムな名前の.HTAファイル
3. Windowsフォルダ内のKAK.HTMファイル

ワームはペイロードルーチンを持っています。午後5時以降の1月1日に、次のメッセージが表示されます。

Kagou-Anti-Kro $ tは今日はないと言っています！

それ以降にWindowsを強制終了させる。

広がる

ワームは、HTML形式の電子メールメッセージとしてコンピュータに到着します。メッセージ本体には、ワーム本体自体のスクリプト（Javaスクリプトプログラム）が含まれています。 HTML文書ではスクリプトプログラムが表示されないため、そのプログラムは画面に表示されません。その結果、感染したメッセージを開く（またはプレビューする）と、メッセージ本文のみが表示され、ワームコードは表示されませんが、スクリプトは自動的にメーラーによって実行され、ワームは制御を受け取ります。

ワームはシステムに感染し、3つのステップで広がります。

1.このワームは、Windowsのスタートアップ（自動起動）フォルダにそのコピーをディスクファイルとして作成します。

2.ワームがWindowsスタートアップフォルダから実行されると、ワームはWindowsシステムディレクトリに移動し、その新しいコピーをシステムレジストリのauto-startセクションに登録し、Windowsスタートアップフォルダから最初のコピーを削除します。

3.ワームは、MS Outlook Expressのレジストリセクションにアクセスし、デフォルトのシグネチャとしてワームのコピーを登録します。 Outlook Expressは、送信されたすべてのメッセージを通じてワームのコードを自動的に送信します。

最初の段階では、システムレジストリではなくディスクファイルのみにアクセスできるため、レジストリキーを変更するためにディスクファイル（「ローカルイントラネットゾーン」）から実行する必要があるため、これらの手順が必要です。その後、ワームは自身のコピーをWindowsのスタートアップフォルダから削除し、そこにあるすべてのプログラムをStartProgramsStartup Menuに表示します。

拡散：ステップ1 – 感染したメッセージから実行される

ワームは、感染したメッセージから起動すると、コンピュータのローカルディスクにアクセスします。ワームは、セキュリティ保護（デフォルトではローカルディスクアクセスが禁止されています）を避けるため、 "TypeLib Security Vulnerability"という名前のセキュリティ違反を使用します。このワームは、スクリプト作成のために安全とマークされたActiveXオブジェクトを作成し、ファイルをディスクに書き込むことができます。このActiveXオブジェクトを使用することにより、ワームはディスクへの書き込みアクセス権を取得します。

次に、このワームはKAK.HTAファイルを作成し、独自のコードをそこに配置します。そのファイルはWindowsのスタートアップディレクトリに置かれ、その結果、次のWindowsの起動時に実行されます。

HTAファイルはHTMLアプリケーションです – インストール後に表示されるファイルタイプ
Internet Explorer 5.0。 HTAファイルには、スクリプトによる通常のHTMLテキストが含まれています
実行されると、スタンドアロンアプリケーションとして実行されます。
Internet Explorerシェル。それは強力な記述の可能性を提供する
HTML内で通常のスクリプトを使用するアプリケーション

ワームは、KAK.HTAファイルを作成している間、Windowsディレクトリへの実際のパスを特定せず、常にWindowsが "C：WINDOWS"フォルダにインストールされていると仮定します。したがって、このワームは、Windowsが「C：WINDOWS」以外の別のディレクトリにインストールされているシステムに広がることはできません。ワームは、Windows起動フォルダの2種類のバリエーションを試してみます。

MENUD�〜1PROGRA〜1D�MARR〜1（フランス語Windows版のデフォルト名）
STARTM〜1ProgramsStartUp（英語版Windows版のデフォルト名）

Windowsのスタートアップディレクトリに別の名前（別のWindowsのローカライゼーションで）がある場合、ワームはそこにファイルを書き込むことができず、それ以上拡散することはできません。

普及：ステップ2 – KAK.HTAから実行

次のWindows再起動時に、Windows起動ディレクトリから "KAK.HTA"ファイルが有効になります。そのファイル内のスクリプトプログラムは、Windowsシステムディレクトリに同じHTAファイルを作成します。そのファイルにはシステム依存の名前（「9A4ADF27.HTA」など）があります。その後、ワームは各Windows起動時にそのファイルを実行するようにシステムレジストリを変更します。ユーザーがデフォルトのOutlook Expressシグネチャを変更した場合、このファイルのスクリプトはワームのコンポーネントとレジストリ設定を復元します。つまり、システムに再感染します。

「KAK.HTA」スクリプトは、内部にワームのコードのみを含む「KAK.HTM」ファイルを作成します（このHTMLページには、純粋なワームスクリプト以外のテキストは表示されません）。このファイルは、あとでメッセージを感染させるために使用されます。

最後に、スクリプトは起動ディレクトリから "KAK.HTA"を削除する "C：AUTOEXEC.BAT"ファイルコマンドを追加します。これはもはや必要ではないからです。

拡散：ステップ3 – 感染したメッセージを送信する

同じスクリプト（ "KAK.HTA"）がシステムレジストリを変更します。「KAK.HTM」ファイルを参照する新しいOutlook Expressの署名が作成され、この署名がOutlook Expressの既定の署名として設定されます。その瞬間から、Outlook Expressはメッセージを作成するたびに、感染した署名をメッセージ（「KAK.HTM」ファイルの内容）に挿入します。

このワームは、HTMLメッセージ（およびこれらはMS Outlook Express）のデフォルト設定を介してのみ拡散させることができます。 RTFと "プレーンテキスト"メッセージは感染しておらず、感染することはできません。

保護

問題は、オンデマンドスキャナを使用した定期的なアンチウイルススキャンでは、このような種類のワームに対する保護が提供されないことです。感染したメッセージがOutlookで開かれるたびに、ワームが再び表示されます。さらに、Outlook Expressがプレビューペインを表示するように設定している場合は、ワームがアクティブになるためのリストから感染メッセージを選択するだけで十分です。

1.自分自身を守るために、オンアクセススキャナを使用して、自分自身をディスクに書き込む瞬間にワームを捕まえることができます。しかし、オンアクセススキャナは、電子メールのHTMLメッセージのスクリプトがシステムメモリ内で直接実行され、ディスクファイルからは格納されずに実行されるため、ワームのアクティベーションを防ぐことができません。

スクリプトプログラムが実行される直前にスクリプトプログラムをチェックするウィルス対策ユーティリティを使用するのが最善の方法です（「AVP Script Checker」を参照）。そのようなプログラムは、ワームの起動とシステム感染を防止する可能性があります。

2.自身のファイルをディスクに書き込むために、このワームはInternet Explorer 5.0のセキュリティ違反を使用します。マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。

3.職場でHTMLアプリケーション（HTA-ファイル）を使用する予定がない場合は、このタイプのウイルス（HTAファイルを使用するワームやウイルス）の感染を防ぐ別の方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。

1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。
2.表示されるウィンドウから、「表示」 – >「オプション…」メニューを選択します。
3. [登録されているファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。
4. [削除]ボタンをクリックして、動作を確認します。
5.オプションダイアログボックスを閉じます。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.VBS.KakWorm

技術的な詳細

広がる

拡散：ステップ1 – 感染したメッセージから実行される

コメント：

普及：ステップ2 – KAK.HTAから実行

拡散：ステップ3 – 感染したメッセージを送信する

保護

クラス	Email-Worm
プラットフォーム	VBS
説明	技術的な詳細このワームはJavaスクリプト言語で書かれています。これは拡散のためにMS Outlook Expressを使用します。このワームは、通常のワームウイルスと同じようにメッセージには添付されませんが、スクリプトプログラムとしてメッセージにその本文を埋め込みます。このワームは、英語版とフランス語版のWindowsでのみ動作します。また、Windowsが「C：WINDOWS」以外のディレクトリにインストールされている場合は動作しません。ワームはMS Outlook Expressと完全に互換性があります。 MS Outlookでは、このワームはアクティブにされ、システムに感染しますが、MS Outlook Expressを対象にしてそのコピーを拡散するだけなので、それ自体をさらに広げることはできません。他の電子メールシステムでは、ワームの機能はそのシステムの機能に依存します。ワームはシステムに感染している間に、そのコピーと共に3つの追加ファイルを作成します。まず、そのうちの2つはシステムに感染させ、最後のものは感染した電子メールを介してワームのコードを拡散させるために使用されます。 1. WindowsスタートアップフォルダのKAK.HTA 2. Windowsシステムフォルダ内のランダムな名前の.HTAファイル 3. Windowsフォルダ内のKAK.HTMファイルワームはペイロードルーチンを持っています。午後5時以降の1月1日に、次のメッセージが表示されます。 Kagou-Anti-Kro $ tは今日はないと言っています！それ以降にWindowsを強制終了させる。広がるワームは、HTML形式の電子メールメッセージとしてコンピュータに到着します。メッセージ本体には、ワーム本体自体のスクリプト（Javaスクリプトプログラム）が含まれています。 HTML文書ではスクリプトプログラムが表示されないため、そのプログラムは画面に表示されません。その結果、感染したメッセージを開く（またはプレビューする）と、メッセージ本文のみが表示され、ワームコードは表示されませんが、スクリプトは自動的にメーラーによって実行され、ワームは制御を受け取ります。ワームはシステムに感染し、3つのステップで広がります。 1.このワームは、Windowsのスタートアップ（自動起動）フォルダにそのコピーをディスクファイルとして作成します。 2.ワームがWindowsスタートアップフォルダから実行されると、ワームはWindowsシステムディレクトリに移動し、その新しいコピーをシステムレジストリのauto-startセクションに登録し、Windowsスタートアップフォルダから最初のコピーを削除します。 3.ワームは、MS Outlook Expressのレジストリセクションにアクセスし、デフォルトのシグネチャとしてワームのコピーを登録します。 Outlook Expressは、送信されたすべてのメッセージを通じてワームのコードを自動的に送信します。最初の段階では、システムレジストリではなくディスクファイルのみにアクセスできるため、レジストリキーを変更するためにディスクファイル（「ローカルイントラネットゾーン」）から実行する必要があるため、これらの手順が必要です。その後、ワームは自身のコピーをWindowsのスタートアップフォルダから削除し、そこにあるすべてのプログラムをStartProgramsStartup Menuに表示します。拡散：ステップ1 – 感染したメッセージから実行されるワームは、感染したメッセージから起動すると、コンピュータのローカルディスクにアクセスします。ワームは、セキュリティ保護（デフォルトではローカルディスクアクセスが禁止されています）を避けるため、 "TypeLib Security Vulnerability"という名前のセキュリティ違反を使用します。このワームは、スクリプト作成のために安全とマークされたActiveXオブジェクトを作成し、ファイルをディスクに書き込むことができます。このActiveXオブジェクトを使用することにより、ワームはディスクへの書き込みアクセス権を取得します。次に、このワームはKAK.HTAファイルを作成し、独自のコードをそこに配置します。そのファイルはWindowsのスタートアップディレクトリに置かれ、その結果、次のWindowsの起動時に実行されます。コメント： HTAファイルはHTMLアプリケーションです – インストール後に表示されるファイルタイプ Internet Explorer 5.0。 HTAファイルには、スクリプトによる通常のHTMLテキストが含まれています実行されると、スタンドアロンアプリケーションとして実行されます。 Internet Explorerシェル。それは強力な記述の可能性を提供する HTML内で通常のスクリプトを使用するアプリケーションワームは、KAK.HTAファイルを作成している間、Windowsディレクトリへの実際のパスを特定せず、常にWindowsが "C：WINDOWS"フォルダにインストールされていると仮定します。したがって、このワームは、Windowsが「C：WINDOWS」以外の別のディレクトリにインストールされているシステムに広がることはできません。ワームは、Windows起動フォルダの2種類のバリエーションを試してみます。 MENUD�〜1PROGRA〜1D�MARR〜1（フランス語Windows版のデフォルト名） STARTM〜1ProgramsStartUp（英語版Windows版のデフォルト名） Windowsのスタートアップディレクトリに別の名前（別のWindowsのローカライゼーションで）がある場合、ワームはそこにファイルを書き込むことができず、それ以上拡散することはできません。普及：ステップ2 – KAK.HTAから実行次のWindows再起動時に、Windows起動ディレクトリから "KAK.HTA"ファイルが有効になります。そのファイル内のスクリプトプログラムは、Windowsシステムディレクトリに同じHTAファイルを作成します。そのファイルにはシステム依存の名前（「9A4ADF27.HTA」など）があります。その後、ワームは各Windows起動時にそのファイルを実行するようにシステムレジストリを変更します。ユーザーがデフォルトのOutlook Expressシグネチャを変更した場合、このファイルのスクリプトはワームのコンポーネントとレジストリ設定を復元します。つまり、システムに再感染します。「KAK.HTA」スクリプトは、内部にワームのコードのみを含む「KAK.HTM」ファイルを作成します（このHTMLページには、純粋なワームスクリプト以外のテキストは表示されません）。このファイルは、あとでメッセージを感染させるために使用されます。最後に、スクリプトは起動ディレクトリから "KAK.HTA"を削除する "C：AUTOEXEC.BAT"ファイルコマンドを追加します。これはもはや必要ではないからです。拡散：ステップ3 – 感染したメッセージを送信する同じスクリプト（ "KAK.HTA"）がシステムレジストリを変更します。「KAK.HTM」ファイルを参照する新しいOutlook Expressの署名が作成され、この署名がOutlook Expressの既定の署名として設定されます。その瞬間から、Outlook Expressはメッセージを作成するたびに、感染した署名をメッセージ（「KAK.HTM」ファイルの内容）に挿入します。このワームは、HTMLメッセージ（およびこれらはMS Outlook Express）のデフォルト設定を介してのみ拡散させることができます。 RTFと "プレーンテキスト"メッセージは感染しておらず、感染することはできません。保護問題は、オンデマンドスキャナを使用した定期的なアンチウイルススキャンでは、このような種類のワームに対する保護が提供されないことです。感染したメッセージがOutlookで開かれるたびに、ワームが再び表示されます。さらに、Outlook Expressがプレビューペインを表示するように設定している場合は、ワームがアクティブになるためのリストから感染メッセージを選択するだけで十分です。 1.自分自身を守るために、オンアクセススキャナを使用して、自分自身をディスクに書き込む瞬間にワームを捕まえることができます。しかし、オンアクセススキャナは、電子メールのHTMLメッセージのスクリプトがシステムメモリ内で直接実行され、ディスクファイルからは格納されずに実行されるため、ワームのアクティベーションを防ぐことができません。スクリプトプログラムが実行される直前にスクリプトプログラムをチェックするウィルス対策ユーティリティを使用するのが最善の方法です（「AVP Script Checker」を参照）。そのようなプログラムは、ワームの起動とシステム感染を防止する可能性があります。 2.自身のファイルをディスクに書き込むために、このワームはInternet Explorer 5.0のセキュリティ違反を使用します。マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。 3.職場でHTMLアプリケーション（HTA-ファイル）を使用する予定がない場合は、このタイプのウイルス（HTAファイルを使用するワームやウイルス）の感染を防ぐ別の方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。 1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。 2.表示されるウィンドウから、「表示」 – >「オプション…」メニューを選択します。 3. [登録されているファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。 4. [削除]ボタンをクリックして、動作を確認します。 5.オプションダイアログボックスを閉じます。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください