Email-Worm.VBS.Timofonica

技術的な詳細

このインターネットワームは、影響を受けるコンピュータから感染したメッセージを送信することによって電子メールで感染します。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。その結果、感染したコンピュータは、MS Outlookの連絡先リストに格納されている数のアドレスに多くのメッセージを送信します。

このワームは、スクリプト言語「Visual Basic Sc​​ript」（VBS）で記述されています。 Windows Scripting Host（WSH）がインストールされているコンピュータでのみ動作します。 Windows 98およびWindows 2000では、WHSはデフォルトでインストールされます。ワームは、自身を広めるために、MS Outlookにアクセスし、その機能とアドレスリストを使用します。これはOutlook 98/2000でのみ利用可能であるため、これらのMS Outlookバージョンのいずれかがインストールされている場合にのみワームを広めることができます。

実行されると、ワームはそのコピーを電子メールで送信し、トロイの木馬プログラムを削除します。

広がる

ワームは、ワーム自体であるVBSファイルが添付された電子メールメッセージとしてコンピュータに到着します。メッセージには、次の内容が含まれています。

件名 ：

ティモフィニカ

メッセージ本文 ：

それは、あなたのために、あなたの人のために、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、 。エキスパートは、Lycosのポータルサイトを参照してください。ウェブ上での文書やウェブ上の文書、文書、文書、その他の情報を閲覧することができます。コモディティ、エスコート、エグゼクティブ、エグゼクティブ、エグゼクティブ、エグゼクティブ、コンプライアンス、コンプライアンス。

添付ファイル名 ：

TIMOFONICA.TXT.vbs

システム設定によっては、添付ファイル（ ".vbs"）の実際の拡張子が表示されないことがあります。この場合、添付ファイルのファイル名は「TIMOFONICA.TXT」と表示されます。

ワームはMS Outlookを開き、アドレス帳にアクセスし、すべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します（添付ファイルをダブルクリックすることにより）。メッセージの件名、本文、添付ファイル名は上記と同じです。

さらに、送信された各感染メッセージでは、ホスト "correo.movi​​star.net"のランダムに生成された（数字の）アドレスに別のメッセージを送ります（例： "639867159@correo.movi​​star.net"）。メッセージには、次の内容が含まれています。

件名 ：

ティモフィニカ

ボディ ：

情報：Telef�nicateest�enga�ando。

実際には、 "correo.movi​​star.net"は電話番号にSMSメッセージを送信するSMSゲートです。番号は、メッセージ内の電子メールアドレスの接頭辞です。

その結果、ワームはSMSメッセージで人々をスパムしようとします。ワームは、アドレス帳に格納されている電子メール（ワームは感染した電子メールメッセージごとにSMSメッセージを送信する）と同じくらい多くのSMSメッセージを無作為に選択した番号に送信し、トロイの木馬プログラムもインストールします。

トロイの木馬プログラムのインストール

トロイの木馬プログラムをシステムにインストールするために、ワームはWindowsシステムディレクトリに「Cmos.com」ファイルを作成し、そのファイルにワーム本体に格納されているコードを書き込みます。次に、このファイルをシステムレジストリのauto-runセクションに登録します。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com

次のWindows起動時に、トロイの木馬は制御を行い、CMOS情報を消去し、ローカルディスクの情報を破壊します。

ワームは、以下の内容のファイル "C：TIMOFONICA.TXT"を作成します。

コメンテリオ
….タリファプラナデ6000ポンド/メス。 Extorsi�n。 1.998の原則は、インターネットの不法行為、インターネットの不法行為、インターネット上の不法行為、インターネットの不法行為などを含む。資材を調達することは、事実上不可能です。 ….ティポフォニカの仲間たち（テラのためにキュンタスになる）は、ONGの仲間たちと一緒に、仲間と戦うことはできませんが、仲間はいません。カンティダドデミルンデペセタス..ミラノの丘、ミラノの丘、ミラノの丘、ペルーの砂漠、砂漠の砂漠、テラとボルサの邸宅。合計、テラの息子のラスHermanitas de los Pobres（ティモフォニカのkonpararlas kon los chupasangres）、NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decir ke estamos obsesionados、Timofonika、ke protestamos por vicio、PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADOウナヴェズTRAS OTRA !! SI ES KE SE LO GANAN PULSO !! Lo dio、todo lo ke g＃eleテレフォニカSUX、カステッラーノ・トラディショナル、APESTA！ ….

ディレクション
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html

Visita estasp�ginas。エステートインビタード。

その後、ワームは、システムレジストリを変更して、VBSファイルを実行する代わりにこのファイルの内容を（メモ帳のウィンドウで）表示します。

VBSファイルアソシエーションの通常の機能を復元するには、コマンドプロンプトウィンドウの命令に従って実行します。

 WSCRIPT // H：WSCRIPT