Email-Worm.VBS.SSIWG

技術的な詳細

これは、感染したコンピュータから感染したメッセージを送信することによって電子メールで広がる"LoveLetter"のようなインターネットワームです。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。

既知のワームバージョンには間違いがあり（1つの命令が間違っている）、ワームはそのコピーを電子メールメッセージで広めることができません。これに加えて、間違いが簡単に修正され、ワー​​ムが広がる可能性があります。

ワームは、ローカルネットワークを介して伝播できます。これを行うために、ワームはネットワークリソースを列挙し、そこに自身をコピーします。ワームは、リモートコンピュータ上で自身をアクティブ化することはできず、ワームコピーがユーザによって実行されることがある場合にのみ感染させます。

ワーム自体はVBSスクリプトプログラムです。

ワームは電子メールメッセージとして到着します：

件名：私は行方不明です。
メッセージ本文：私は私を覚えていますか？
添付ファイル名：Y072QWV.VBS

ワームは、ユーザによって起動されると、同じ名前（Y072QWV.VBS）のWindowsシステムディレクトリに自身をコピーし、このコピーをシステムレジストリの自動実行セクションに登録します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Y072QWV" =％Windir％Y072QWV.VBS

ここで、 "Windir"はWindowsシステムディレクトリの名前です。

その後、ワームはローカルネットワークを介して、その "Y072QWV.VBS"ファイルを書き込み用に共有されたドライブのルートディレクトリにコピーします。

ワームは、感染したメッセージを送信するために、MS Outlookに接続し、アドレス帳からすべてのアドレスを取得し、メッセージを送信します（件名、本文、添付ファイル名は上記と同じです）。

ワームは自動実行レジストリセクションに自身を登録するため、各Windowsの起動時にアクティブになりますが、実行するたびに電子メールメッセージによって広がることはありません。このワームには、Windowsレジストリに格納されているカウンタがあります。

HKEY_LOCAL_MACHINE "Y072QWV" =数値

"number"は起動の回数です（起動するたびに、このカウンタが増加します）。カウンタが20に達すると、ワームはそれをゼロにリセットしてから、Outlook感染ルーチンを実行します。それ以外の場合、ワームはそれをスキップします。

その結果、ワームは感染したメッセージを最初の実行時（感染したメッセージから起動中）にのみ、20回目の再起動ごとに送信します。ローカルネットワーク拡散ルーチンは、ワームが起動するたびに有効になります。

ワームには、検出を少し難しくする機能があります。ワームコード内のすべてのテキスト文字列はわずかに暗号化されており、必要に応じて復号化して使用します。