親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: VBS
Visual Basic Scripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。説明
技術的な詳細
このインターネットワームは、影響を受けるコンピュータから感染したメッセージを送信することによって電子メールで感染します。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。その結果、感染したコンピュータは、MS Outlookの連絡先リストに格納されている数のアドレスに多くのメッセージを送信します。
このワームは、スクリプト言語「Visual Basic Script」(VBS)で記述されています。 Windows Scripting Host(WSH)がインストールされているコンピュータでのみ動作します。 Windows 98およびWindows 2000では、WHSはデフォルトでインストールされます。ワームは、自身を広めるために、MS Outlookにアクセスし、その機能とアドレスリストを使用します。これはOutlook 98/2000でのみ利用可能であるため、これらのMS Outlookバージョンのいずれかがインストールされている場合にのみワームを広めることができます。
実行されると、ワームはそのコピーを電子メールで送信し、トロイの木馬プログラムを削除します。
広がる
ワームは、ワーム自体であるVBSファイルが添付された電子メールメッセージとしてコンピュータに到着します。メッセージには、次の内容が含まれています。
件名 :
ティモフィニカ
メッセージ本文 :
それは、あなたのために、あなたの人のために、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、宗教、 。エキスパートは、Lycosのポータルサイトを参照してください。ウェブ上での文書やウェブ上の文書、文書、文書、その他の情報を閲覧することができます。コモディティ、エスコート、エグゼクティブ、エグゼクティブ、エグゼクティブ、エグゼクティブ、コンプライアンス、コンプライアンス。
添付ファイル名 :
TIMOFONICA.TXT.vbs
システム設定によっては、添付ファイル( ".vbs")の実際の拡張子が表示されないことがあります。この場合、添付ファイルのファイル名は「TIMOFONICA.TXT」と表示されます。
ワームはMS Outlookを開き、アドレス帳にアクセスし、すべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します(添付ファイルをダブルクリックすることにより)。メッセージの件名、本文、添付ファイル名は上記と同じです。
さらに、送信された各感染メッセージでは、ホスト "correo.movistar.net"のランダムに生成された(数字の)アドレスに別のメッセージを送ります(例: "639867159@correo.movistar.net")。メッセージには、次の内容が含まれています。
件名 :
ティモフィニカ
ボディ :
情報:Telef�nicateest�enga�ando。
実際には、 "correo.movistar.net"は電話番号にSMSメッセージを送信するSMSゲートです。番号は、メッセージ内の電子メールアドレスの接頭辞です。
その結果、ワームはSMSメッセージで人々をスパムしようとします。ワームは、アドレス帳に格納されている電子メール(ワームは感染した電子メールメッセージごとにSMSメッセージを送信する)と同じくらい多くのSMSメッセージを無作為に選択した番号に送信し、トロイの木馬プログラムもインストールします。
トロイの木馬プログラムのインストール
トロイの木馬プログラムをシステムにインストールするために、ワームはWindowsシステムディレクトリに「Cmos.com」ファイルを作成し、そのファイルにワーム本体に格納されているコードを書き込みます。次に、このファイルをシステムレジストリのauto-runセクションに登録します。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCmos = Cmos.com
次のWindows起動時に、トロイの木馬は制御を行い、CMOS情報を消去し、ローカルディスクの情報を破壊します。
ワームは、以下の内容のファイル "C:TIMOFONICA.TXT"を作成します。
その後、ワームは、システムレジストリを変更して、VBSファイルを実行する代わりにこのファイルの内容を(メモ帳のウィンドウで)表示します。 VBSファイルアソシエーションの通常の機能を復元するには、コマンドプロンプトウィンドウの命令に従って実行します。コメンテリオ
....タリファプラナデ6000ポンド/メス。 Extorsi�n。 1.998の原則は、インターネットの不法行為、インターネットの不法行為、インターネット上の不法行為、インターネットの不法行為などを含む。資材を調達することは、事実上不可能です。 ....ティポフォニカの仲間たち(テラのためにキュンタスになる)は、ONGの仲間たちと一緒に、仲間と戦うことはできませんが、仲間はいません。カンティダドデミルンデペセタス..ミラノの丘、ミラノの丘、ミラノの丘、ペルーの砂漠、砂漠の砂漠、テラとボルサの邸宅。合計、テラの息子のラスHermanitas de los Pobres(ティモフォニカのkonpararlas kon los chupasangres)、NI NOSOTROS SEMOS GILIPOLLAS !!! Podran decir ke estamos obsesionados、Timofonika、ke protestamos por vicio、PERO ES KE EN 3 ATOS KE LLEVO EN INET SOLO LA HAN KAGADOウナヴェズTRAS OTRA !! SI ES KE SE LO GANAN PULSO !! Lo dio、todo lo ke g#eleテレフォニカSUX、カステッラーノ・トラディショナル、APESTA! ....ディレクション
http://www.telefonica.es/
http://www.timofonica.com/
http://100scripts.islaweb.com/scripting-timofonica.html
http://www.labrujula.net/wwwboard/messages2/1165.html
http://www.tinet.org/mllistes/pc/September_1998/msg00005.html
http://area3d.area66.com/forotec/_disc1/0000015b.htm
http://wwh.itgo.com/Phreaking.htm
http://www.rcua.alcala.es/archives/ham-ea/msg00780.html
http://www.areas.org/debate/dp/2/messages/18.html
http://www.fut.es/mllistes/parlem/January_1999/msg00208.html
Visita estasp�ginas。エステートインビタード。
WSCRIPT // H:WSCRIPT
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com