親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: VBS
Visual Basic Scripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。説明
技術的な詳細
このワームはJavaスクリプト言語で書かれています。これは拡散のためにMS Outlook Expressを使用します。このワームは、通常のワームウイルスと同じようにメッセージには添付されませんが、スクリプトプログラムとしてメッセージにその本文を埋め込みます。
このワームは、英語版とフランス語版のWindowsでのみ動作します。また、Windowsが「C:WINDOWS」以外のディレクトリにインストールされている場合は動作しません。
ワームはMS Outlook Expressと完全に互換性があります。 MS Outlookでは、このワームはアクティブにされ、システムに感染しますが、MS Outlook Expressを対象にしてそのコピーを拡散するだけなので、それ自体をさらに広げることはできません。他の電子メールシステムでは、ワームの機能はそのシステムの機能に依存します。
ワームはシステムに感染している間に、そのコピーと共に3つの追加ファイルを作成します。まず、そのうちの2つはシステムに感染させ、最後のものは感染した電子メールを介してワームのコードを拡散させるために使用されます。
1. WindowsスタートアップフォルダのKAK.HTA
2. Windowsシステムフォルダ内のランダムな名前の.HTAファイル
3. Windowsフォルダ内のKAK.HTMファイル
ワームはペイロードルーチンを持っています。午後5時以降の1月1日に、次のメッセージが表示されます。
Kagou-Anti-Kro $ tは今日はないと言っています!
それ以降にWindowsを強制終了させる。
広がる
ワームは、HTML形式の電子メールメッセージとしてコンピュータに到着します。メッセージ本体には、ワーム本体自体のスクリプト(Javaスクリプトプログラム)が含まれています。 HTML文書ではスクリプトプログラムが表示されないため、そのプログラムは画面に表示されません。その結果、感染したメッセージを開く(またはプレビューする)と、メッセージ本文のみが表示され、ワームコードは表示されませんが、スクリプトは自動的にメーラーによって実行され、ワームは制御を受け取ります。
ワームはシステムに感染し、3つのステップで広がります。
1.このワームは、Windowsのスタートアップ(自動起動)フォルダにそのコピーをディスクファイルとして作成します。
2.ワームがWindowsスタートアップフォルダから実行されると、ワームはWindowsシステムディレクトリに移動し、その新しいコピーをシステムレジストリのauto-startセクションに登録し、Windowsスタートアップフォルダから最初のコピーを削除します。
3.ワームは、MS Outlook Expressのレジストリセクションにアクセスし、デフォルトのシグネチャとしてワームのコピーを登録します。 Outlook Expressは、送信されたすべてのメッセージを通じてワームのコードを自動的に送信します。
最初の段階では、システムレジストリではなくディスクファイルのみにアクセスできるため、レジストリキーを変更するためにディスクファイル(「ローカルイントラネットゾーン」)から実行する必要があるため、これらの手順が必要です。その後、ワームは自身のコピーをWindowsのスタートアップフォルダから削除し、そこにあるすべてのプログラムをStartProgramsStartup Menuに表示します。
拡散:ステップ1 - 感染したメッセージから実行される
ワームは、感染したメッセージから起動すると、コンピュータのローカルディスクにアクセスします。ワームは、セキュリティ保護(デフォルトではローカルディスクアクセスが禁止されています)を避けるため、 "TypeLib Security Vulnerability"という名前のセキュリティ違反を使用します。このワームは、スクリプト作成のために安全とマークされたActiveXオブジェクトを作成し、ファイルをディスクに書き込むことができます。このActiveXオブジェクトを使用することにより、ワームはディスクへの書き込みアクセス権を取得します。
次に、このワームはKAK.HTAファイルを作成し、独自のコードをそこに配置します。そのファイルはWindowsのスタートアップディレクトリに置かれ、その結果、次のWindowsの起動時に実行されます。
コメント:
HTAファイルはHTMLアプリケーションです - インストール後に表示されるファイルタイプ
Internet Explorer 5.0。 HTAファイルには、スクリプトによる通常のHTMLテキストが含まれています
実行されると、スタンドアロンアプリケーションとして実行されます。
Internet Explorerシェル。それは強力な記述の可能性を提供する
HTML内で通常のスクリプトを使用するアプリケーション
ワームは、KAK.HTAファイルを作成している間、Windowsディレクトリへの実際のパスを特定せず、常にWindowsが "C:WINDOWS"フォルダにインストールされていると仮定します。したがって、このワームは、Windowsが「C:WINDOWS」以外の別のディレクトリにインストールされているシステムに広がることはできません。ワームは、Windows起動フォルダの2種類のバリエーションを試してみます。
MENUD�〜1PROGRA〜1D�MARR〜1(フランス語Windows版のデフォルト名)
STARTM〜1ProgramsStartUp(英語版Windows版のデフォルト名)
Windowsのスタートアップディレクトリに別の名前(別のWindowsのローカライゼーションで)がある場合、ワームはそこにファイルを書き込むことができず、それ以上拡散することはできません。
普及:ステップ2 - KAK.HTAから実行
次のWindows再起動時に、Windows起動ディレクトリから "KAK.HTA"ファイルが有効になります。そのファイル内のスクリプトプログラムは、Windowsシステムディレクトリに同じHTAファイルを作成します。そのファイルにはシステム依存の名前(「9A4ADF27.HTA」など)があります。その後、ワームは各Windows起動時にそのファイルを実行するようにシステムレジストリを変更します。ユーザーがデフォルトのOutlook Expressシグネチャを変更した場合、このファイルのスクリプトはワームのコンポーネントとレジストリ設定を復元します。つまり、システムに再感染します。
「KAK.HTA」スクリプトは、内部にワームのコードのみを含む「KAK.HTM」ファイルを作成します(このHTMLページには、純粋なワームスクリプト以外のテキストは表示されません)。このファイルは、あとでメッセージを感染させるために使用されます。
最後に、スクリプトは起動ディレクトリから "KAK.HTA"を削除する "C:AUTOEXEC.BAT"ファイルコマンドを追加します。これはもはや必要ではないからです。
拡散:ステップ3 - 感染したメッセージを送信する
同じスクリプト( "KAK.HTA")がシステムレジストリを変更します。 「KAK.HTM」ファイルを参照する新しいOutlook Expressの署名が作成され、この署名がOutlook Expressの既定の署名として設定されます。その瞬間から、Outlook Expressはメッセージを作成するたびに、感染した署名をメッセージ(「KAK.HTM」ファイルの内容)に挿入します。
このワームは、HTMLメッセージ(およびこれらはMS Outlook Express)のデフォルト設定を介してのみ拡散させることができます。 RTFと "プレーンテキスト"メッセージは感染しておらず、感染することはできません。
保護
問題は、オンデマンドスキャナを使用した定期的なアンチウイルススキャンでは、このような種類のワームに対する保護が提供されないことです。感染したメッセージがOutlookで開かれるたびに、ワームが再び表示されます。さらに、Outlook Expressがプレビューペインを表示するように設定している場合は、ワームがアクティブになるためのリストから感染メッセージを選択するだけで十分です。
1.自分自身を守るために、オンアクセススキャナを使用して、自分自身をディスクに書き込む瞬間にワームを捕まえることができます。しかし、オンアクセススキャナは、電子メールのHTMLメッセージのスクリプトがシステムメモリ内で直接実行され、ディスクファイルからは格納されずに実行されるため、ワームのアクティベーションを防ぐことができません。
スクリプトプログラムが実行される直前にスクリプトプログラムをチェックするウィルス対策ユーティリティを使用するのが最善の方法です(「AVP Script Checker」を参照)。そのようなプログラムは、ワームの起動とシステム感染を防止する可能性があります。
2.自身のファイルをディスクに書き込むために、このワームはInternet Explorer 5.0のセキュリティ違反を使用します。マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。
3.職場でHTMLアプリケーション(HTA-ファイル)を使用する予定がない場合は、このタイプのウイルス(HTAファイルを使用するワームやウイルス)の感染を防ぐ別の方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、いくつかの手順を実行する必要があります。
1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。
2.表示されるウィンドウから、「表示」 - >「オプション...」メニューを選択します。
3. [登録されているファイルの種類]リストボックスの[ファイルの種類]タブで、[HTMLアプリケーション]を選択します。
4. [削除]ボタンをクリックして、動作を確認します。
5.オプションダイアログボックスを閉じます。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com