Email-Worm.VBS.Talorm

技術的な詳細

Talormは、感染した電子メールへの添付ファイルとしてインターネット経由で広がるワームウイルスで、IRCチャネルに自身をコピーします。ワーム自体は約17KBのCHMファイル（圧縮されたHTMLファイル）です。

感染したメッセージには、次の機能があります。

件名テキストは、次のバリアントからランダムに選択されます。

   - フォト・ド・タリア
   - 無料写真
   -  Fotos XXX de Thalia
   -  Fotos Exitantes de Thalia

本文は、次のバリアントからランダムに選択されます。

   -  Checa estas写真デタリア
   - ホラ・キュー・タル？ Thaliaの写真はありません
   - コモタス！タリアの写真
   - マイアミ諸島Amigos fotos de Thalia
   -  Fotos XXX de Thalia
   - 写真をクリックで拡大Thalia
   -  Imagenes insolitas de Thalia
   -  Apuesto a queには、Thalia des vue desnudaがありません。
   - ホラ！テータ・リト・ア・チカー・エスタス・フォートス・ビエン・チダス・ド・タリア
   -  Fotos Exitantes de la cantante Thalia

 アタッチ：Thalia.chm

「Talorm」電子メールメッセージの例：

ワームは、感染した電子メールから、ユーザーが添付ファイルをクリックした場合にのみアクティブになります。これが起こると、Talormはそれ自身をシステムにインストールし、拡散ルーチンを実行します。

その後、ワームはレジストリキーを新しいテキストで上書きします。

 HKLMSoftwareMicrosoftWindowsCurrentVersion
  RegisteredOwner = Thalia "

メッセージを表示します。

インストール

ワームをインストールすると、Thalia.chmという名前でWindowsディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  Thalia =％WinDir％Thalia.CHM

広がり：EMail

ワームは、感染したメッセージを送信するために、MS Outlookを使用し、各被害者マシンのOutlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

拡散：IRC

ワームは、 "Program Files"ディレクトリ内のmIRCサブディレクトリを探し、この場所に新しい "script.ini"ファイルを書き込みます。このスクリプトファイルには、感染したIRCチャネルに参加するすべてのユーザーにワームコピーを送信する手順が記載されています。