親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: VBS
Visual Basic Scripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。説明
技術的な詳細
これは、2000年5月の初めにグローバルな流行を引き起こしたインターネットワームです。このワームは、影響を受けるコンピュータから感染したメッセージを送信することによって電子メールで広がります。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。その結果、感染したコンピュータは、MS Outlookの連絡先リストに保持されている数のアドレスに多くのメッセージを送信します。
このワームは、スクリプト言語「Visual Basic Script」(VBS)で記述されています。これは、Windows Scripting Host(WSH)がインストールされているコンピュータでのみ動作します。 Windows 98およびWindows 2000では、WHSはデフォルトでインストールされます。自身を広めるため、ワームはMS Outlookにアクセスし、その機能とアドレスリストをOutlook 98/2000のみで使用するため、これらのMS Oulookバージョンのいずれかがインストールされている場合にのみ感染を広げることができます。
ワームは実行時に、電子メールでそのコピーを送信し、システムに自身をインストールし、破壊的な処理を実行し、トロイの木馬プログラムをダウンロードしてインストールします。ワームは、mIRCチャネルを介して拡散する機能も備えています。
ワームは "著作権"文字列を含んでいます:
barok -loveletter(vbe)<私は学校に行くのが嫌い>
by:spyder / ispyder@mail.com / @GRAMMERSoft Group /マニラ、フィリピン
広がる
ワームは、ワーム自体であるVBSファイルが添付された電子メールメッセージとしてコンピュータに到着します。元のワームバージョンのメッセージは次のとおりです。
テーマ:ILOVEYOU
メッセージ本文:私から来た添付のLOVELETTERを親切にチェックしてください。
添付ファイル名:LOVE-LETTER-FOR-YOU.TXT.vbs
ワームはMS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します(添付ファイルをダブルクリックすることにより)。メッセージの件名、本文、添付ファイル名は上記と同じです。
ワームは、自身をシステムにインストールします。 Windowsのディレクトリに以下の名前のコピーを作成します。
Windowsディレクトリ:WIN32DLL.VBS Windowsシステムディレクトリ:MSKERNEL32.VBS、LOVE-LETTER-FOR-YOU.TXT.VBS
これらのファイルは、システムレジストリのWindows自動実行セクションに登録されます。
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL = Win32DLL.VBS
その結果、Windowsが起動するたびにワームは再起動されます。
ワームはまた、WindowsシステムディレクトリにHTMドロッパーを作成し、mIRCチャネルに広がりながら使用します(以下を参照)。このコピーの名前は次のとおりです。
LOVE-LETTER-FOR-YOU.TXT.HTM
トロイの木馬ファイルのダウンロード
トロイの木馬プログラムをシステムにインストールするために、ワームはURLをInternet Explorerの開始ページに変更します。新しいURLはWebサイト(4つの変種の中からランダムに選択されたもの)を指し、エクスプローラがそこからEXEファイルをダウンロードするように強制します。そのファイルはWIN-BUGSFIX.EXEという名前を持ち、トロイの木馬プログラムです。次に、このファイルをシステムレジストリに自動実行セクションに登録します。
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWIN-BUGSFIX = WIN-BUGSFIX.exe
次回の実行時に、Internet Exlorerはトロイの木馬をダウンロードし、システムのダウンロードディレクトリに保存します。次のWindows起動時に、このトロイの木馬は制御を取得し、WINFAT32.EXEという名前でWindowsシステムディレクトリに自身をコピーします。
トロイの木馬がシステムにインストールされると、ワームはInternet Explorerの開始ページを空白に設定します( "about:blank")。
ダウンロードおよびインストールされたファイルは、パスワードを盗むトロイの木馬です。ローカルマシン名とIPアドレス、ネットワークログイン名とパスワード、RAS情報などを取得し、トロイの木馬ホストに送信します。分析されたサンプルは "mailme@super.net.ph"にメッセージを送信し、メッセージの件名は次のようになります。
Barok ... email.passwords.sender.trojan
IRCチャンネルへの広がり
ワームはローカルドライブをスキャンし、ファイルを探します:
MIRC32.EXE、MLINK32.EXE、MIRC.INI、SCRIPT.INI、MIRC.HLP
これらのファイルの少なくとも1つがサブディレクトリにある場合、ワームは新しいSCRIPT.INIファイルをそこにドロップします。このファイルには、感染したIRCチャンネルに参加するすべてのユーザーにワームコピー(LOVE-LETTER-FOR-YOU.TXT.HTMファイル)を送信するmIRC命令が含まれています。
SCRIPT.INIファイルにコメントが含まれています。
mIRCスクリプト
このスクリプトを編集しないでください... mIRCが壊れてしまいます。
破損しています... WINDOWSは正しく動作し、正常に動作しません。ありがとう
Khaled Mardam-Bey
http://www.mirc.com
IRCユーザーが感染したHTMLを受信すると、IRCダウンロードディレクトリにコピーされます。ワームは、ユーザーがそのファイルをクリックした場合にのみ、そのファイルからアクティブになります。ブラウザのセキュリティ設定では、スクリプトがディスクファイルにアクセスして警告メッセージを表示することができないため、ワームはこれを避けるためにトリックを使います。まず、ユーザーをだますメッセージを表示します。
このHTMLファイルにはActiveXコントロールが必要です
このHTMLファイルの読み取りを有効にするには
- ActiveXを有効にするには「はい」ボタンを押してください
ユーザーが実際に「はい」をクリックした場合、ワームはディスクファイルにアクセスし、自身をシステムにインストールします。 VBSコードをMSKERNEL32.VBS名のWindowsシステムディレクトリにドロップし、システムレジストリのWindows自動実行セクションに登録します。
HKLMSoftwareMicrosoftWindowsCurrentVersionRunMSKernel32 = MSKERNEL32.VBS
「NO」が選択された場合、ワームはマウスの動きとキー入力イベントを傍受し、それ自身をリロードします。その結果、ユーザは、「はい」を押すまで無限ループで警告メッセージを受信する。
破壊的な行動
ワームは利用可能なすべてのローカルドライブとマップされたドライブのサブディレクトリツリーをスキャンし、そこにすべてのファイルをリストアップし、ファイル名の拡張子に応じてアクションを実行します。
- VBS、VBE:これらのファイルをVBS本体で上書きします。その結果、システム内のすべてのVBSおよびVBEプログラムがワームコードで上書きされます。
- JS、JSE、CSS、WSH、SCT、HTA:ワームは元のファイル名に ".VBS"エクステンションを加えた新しいファイルを作成し、元のファイルを削除します。つまり、これらのファイルをコードで上書きし、VBS拡張子で名前を変更します。たとえば、「TEST.JS」は「TEST.VBS」になります。
- JPG、JPEG:ワームは上記と同じですが、完全なファイル名に ".VBS"拡張子を付け加えます( ".VBS"に名前変更しません)。たとえば、「PIC1.JPG」は「PIC1.JPG.VBS」になります。
- MP2、MP3:ワームは ".VBS"拡張子( "SONG.MP2"の場合、 "SONG.MP2.VBS"ファイルを作成します)の新しいファイルを作成し、そこにコードを書き込み、ファイル属性を "元のファイルの場合は「非表示」になります。
その他の変形
ワーム自体はテキストスクリプトプログラムであり、テキストソース形式で配布されています。ワームのコードは、ハッカーによって簡単に変更される可能性があり、その結果、元のワームには多くの亜種が存在します。それらのほとんどはマイナーなリメイクであり、オリジナルのワームとはちょっと違っています。メッセージフィールドのテキスト、ファイル名、影響を受けるディスクファイルの拡張子(.BATや.INIなど)が異なります。
件名、メッセージ本文、および添付ファイル名は、以下のとおりです(最初のブロックは元のワームのバージョンに属します)。
件名/本文/添付名 わたしは、あなたを愛しています 私から来た添付のLOVELETTERを親切にチェックしてください。 LOVE-LETTER-FOR-YOU.TXT.vbs 母の日の注文の確認 お客様のクレジットカードに326.92ドルの請求を行いました 母の日のための特別なダイヤモンド。私たちは詳細な このメールへの請求書。添付ファイルを印刷して添付してください ハッピーマザーズの日をもう一度ありがとう! mothersday@subdimension.com mothersday.vbs fwd:ジョーク- メッセージ内にメッセージ本文がありません 非常にFunny.vbs Susitikim shi vakara kavos puodukui ... 私から来た添付のLOVELETTERを親切にチェックしてください。 LOVE-LETTER-FOR-YOU.TXT.vbs 重要!慎重に読む !! 私から来ている添付の重要なものをチェックしてください! IMPORTANT.TXT.vbs 危険なウイルスの警告 危険なウイルスが循環しています。 添付写真をクリックしてご覧になり、避けてください。 virus_warning.jpg.vbs IL0VEY0Uのバグからあなたを守る方法! 愛のウイルスを修正する簡単な方法はここにあります。 ウイルス対策 - Instructions.vbs アラブ航空と一緒に飛んでくれてありがとう 添付ファイルを開いて請求書が正しいかどうか確認してください。 ArabAir.TXT.vbs Bewerbung Kreolina ダーメンとヘレンと一緒に! BEWERBUNG.TXT.vbs ルック! hehe ...これをチェックしてください。 LOOK.vbs バリアントテスト これはvbsウイルスの亜種です。 IMPORTANT.TXT.vbs ええ、死の別の時間... これはVBS.LOVE-LETTER.WORMのキラーです。 Vir-Killer.vbs 私は信じてこれを信じて! 私は信じています私はちょうどこの憎しみを受け取ったことがあります電子メール..見てみましょう! KillEmAll.TXT.vbs LOVEBUGアップデートアンチウイルスの新しいバリエーション!! 今や愛バグの新しい変種があります。それはで解放された 午後8時37分土曜日の夜。パッチをダウンロードしてください。 私たちはこのウイルスを分離しようとしています。 Symantecに感謝します。 antivirusupdate.vbs 重要:公式ウイルスとバグ修正 これは公式のウイルスとバグ修正です。私はシステム管理者から入手しました。 システムファイルを実行した後、システムファイルを更新するのに少し時間がかかる場合があります 添付ファイル。 バグとウイルスfix.vbs 最近のウイルス攻撃 - 修正 添付されたスクリプトのコピーは、 LOVE-LETTER-TO-YOU.TXT.vbsとFW:JOKE、 母の日とリトアニアの兄弟。 BAND-AID.DOC.vbs プレゼンテーション グランデは声を出して、それ以外は忘れないでください。 彼等と一緒にアネックス。 http://www.uol.com.br UOL.TXT.vbs バグとウイルスの修正 私はシステム管理者からこれを手に入れました。これを実行すると最近の 将来のバグとウイルス攻撃。ファイルを更新するのに少し時間がかかることがあります。 主要なバグとウイルスFIX.vbs無料のSEXSITE PASSWORDS 見てみな ;無料のSEXサイトのパスワード。 無料のSEXSITE PASSWORDS.HTML.vbs あなたは$ 1,000,000を獲得するかもしれません! 1 [アウェイ]をクリック 親切にも、私から来る添付のWINをチェックしてください。 WIN.vbs ウイルスの警告!!! 非常に重要ですこのテキストをお読みください。テキストアタッチメント。 非常に重要なtxt.vbs ウイルスに感染する方法 親切に、私から来た添付のウイルス情報をチェックしてください。 これはどのようなウイルスに対しても免疫ができる方法です。それは本当に多くを助ける! HOW_TO_BEAT_VIRUSES.TXT.vbsあなたはこれを読む必要があります! あなたはこのテキストを読んだことがありますか?あなたはそれをしなければならない!! C:NOTES.TXT.exe新しいウイルスが発見されました! 新しいウイルスが発見されました!名前は@ - @ AlhaとOmega @ - @です。 ウィルス能力の全リストは添付ファイル@ - @ info.txt @ - @に含まれています。 最後の情報は、McAfeeのWebページを参照してください。 気になる人にこのメッセージを転送してください。 info.txt.vbs あなたがここにいたらいいのにと思う! あなたがここにいたらいいのにと思う!素晴らしい時を過ごせています! あなたがここにいて欲しいです!.postcard.vbs
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com