Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、感染したコンピュータから感染したメッセージを送信して電子メールで感染するインターネットワームのファミリーです。拡散中、ワームはMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。その結果、感染したコンピュータは、MS Outlookの連絡先リストに維持されている数のアドレスに多くのメッセージを送信します。

2つのワームの亜種が知られています。どちらもコードにバグがあり、広げることはできませんが、これらのバグはハッカーによって簡単に修正できます。

ワームは、スクリプト言語「Visual Basic Script」（VBS）で記述され、Windows Scripting Host（WSH）がインストールされているコンピュータでのみ動作します。 Windwos 98とWindows 2000では、WHSはデフォルトでインストールされます。広がるために、ワームはMS Outlookにアクセスし、その機能とアドレスリストを使用します。これはOutlook 98/2000でのみ利用可能であるため、これらのMS Oulookバージョンのいずれかがインストールされている場合にのみワームが広がります。

広がる

ワームは、ワーム自体であるVBSファイルが添付された電子メールメッセージとしてコンピュータに到着します。元のワームバージョンのメッセージには次のものが含まれています：

件名： Prinz Charles Are Die
メッセージ本文： Cool Userの最新メッセージ。 Lucky2000
添付ファイル名： COOL_NOTEPAD_DEMO.TXT.vbs

システム設定によっては、添付ファイル（.vbs）の実際の拡張子が表示されないことがあります。この場合、添付ファイルのファイル名は「COOL_NOTEPAD_DEMO.TXT」と表示されます。

ワームは、ユーザーが（添付ファイルをダブルクリックして）起動すると、次のメッセージを表示します。

eXposed
eXposedがインストールされています

次に、デスクトップ上にWindowsを終了するPIFファイルへのショートカットを作成します。ワームは存在しないファイルにショートカットアイコンを設定するので、ショートカットには白い背景を持つWindowsの標準アイコンが表示されます。この後、ワームは次のメッセージを表示します。

青いボトルのアイコンをデスクトップ上でクリックするか、ハードドライブが失われます！
感染したウイルスはあなたのコンピュータに損害を与えます

その後、MS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのアドレスに送信します。メッセージの件名、本文、添付ファイル名は上記と同じです。

ワームは、自身をシステムにインストールします。 "Prinz_Charles_Are_Die.TXT.vbs"という名前でWindowsディレクトリにコピーを作成します。

このファイルは、システムレジストリのWindows自動実行セクションに登録されます。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunPrinz_Charles_Are_Die = Prinz_Charles.Are.Die.TXT.vbs

結果として、ワームはWindowsが起動するたびに再起動されます。

その他の変形

ワーム自体はテキストスクリプトプログラムであり、テキストソース形式で配布されています。ワームのコードは、ハッカーによって容易に変更される可能性があり、その結果、ワームの多くの亜種が出現している可能性があります。通常わずかな変更が行われます。

I-Worm.Lucky.b

このワームの亜種は、最初のものに非常に近いです。起動すると、他のメッセージが表示されます。

価格
価格はこちら

そして：

青いボトルのアイコンをデスクトップに置いて、1億ドルを手に入れよう！

感染したメッセージには以下が含まれます：

件名： Won_a_Price
メッセージ本文：あなたのために百万ドル。 Lucky2000
添付ファイル名： Won_a_Price.TXT.vbs

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	VBS
説明	技術的な詳細これは、感染したコンピュータから感染したメッセージを送信して電子メールで感染するインターネットワームのファミリーです。拡散中、ワームはMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。その結果、感染したコンピュータは、MS Outlookの連絡先リストに維持されている数のアドレスに多くのメッセージを送信します。 2つのワームの亜種が知られています。どちらもコードにバグがあり、広げることはできませんが、これらのバグはハッカーによって簡単に修正できます。ワームは、スクリプト言語「Visual Basic Script」（VBS）で記述され、Windows Scripting Host（WSH）がインストールされているコンピュータでのみ動作します。 Windwos 98とWindows 2000では、WHSはデフォルトでインストールされます。広がるために、ワームはMS Outlookにアクセスし、その機能とアドレスリストを使用します。これはOutlook 98/2000でのみ利用可能であるため、これらのMS Oulookバージョンのいずれかがインストールされている場合にのみワームが広がります。広がるワームは、ワーム自体であるVBSファイルが添付された電子メールメッセージとしてコンピュータに到着します。元のワームバージョンのメッセージには次のものが含まれています：件名： Prinz Charles Are Die メッセージ本文： Cool Userの最新メッセージ。 Lucky2000 添付ファイル名： COOL_NOTEPAD_DEMO.TXT.vbs システム設定によっては、添付ファイル（.vbs）の実際の拡張子が表示されないことがあります。この場合、添付ファイルのファイル名は「COOL_NOTEPAD_DEMO.TXT」と表示されます。ワームは、ユーザーが（添付ファイルをダブルクリックして）起動すると、次のメッセージを表示します。 eXposed eXposedがインストールされています次に、デスクトップ上にWindowsを終了するPIFファイルへのショートカットを作成します。ワームは存在しないファイルにショートカットアイコンを設定するので、ショートカットには白い背景を持つWindowsの標準アイコンが表示されます。この後、ワームは次のメッセージを表示します。青いボトルのアイコンをデスクトップ上でクリックするか、ハードドライブが失われます！感染したウイルスはあなたのコンピュータに損害を与えますその後、MS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのアドレスに送信します。メッセージの件名、本文、添付ファイル名は上記と同じです。ワームは、自身をシステムにインストールします。 "Prinz_Charles_Are_Die.TXT.vbs"という名前でWindowsディレクトリにコピーを作成します。このファイルは、システムレジストリのWindows自動実行セクションに登録されます。 HKLMSoftwareMicrosoftWindowsCurrentVersionRunPrinz_Charles_Are_Die = Prinz_Charles.Are.Die.TXT.vbs 結果として、ワームはWindowsが起動するたびに再起動されます。その他の変形ワーム自体はテキストスクリプトプログラムであり、テキストソース形式で配布されています。ワームのコードは、ハッカーによって容易に変更される可能性があり、その結果、ワームの多くの亜種が出現している可能性があります。通常わずかな変更が行われます。 I-Worm.Lucky.b このワームの亜種は、最初のものに非常に近いです。起動すると、他のメッセージが表示されます。価格価格はこちらそして：青いボトルのアイコンをデスクトップに置いて、1億ドルを手に入れよう！感染したメッセージには以下が含まれます：件名： Won_a_Price メッセージ本文：あなたのために百万ドル。 Lucky2000 添付ファイル名： Won_a_Price.TXT.vbs
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.VBS.Lucky

技術的な詳細

広がる

その他の変形

I-Worm.Lucky.b