Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このワームは電子メールメッセージに広がります。ワーム自体は約30KのDOS EXEファイルです。実行すると、TYPEDEF.EXE名でWindowsディレクトリに自身をインストールし、自動実行セクションのWIN.INIファイルに自身を登録します。ワームはその活動を隠すために、偽のメッセージを表示して終了します：

PKSFX自己抽出ユーティリティー・バージョン2.50 03-01-1999
Copr。 1989-1999 PKWARE Inc.すべての権利を保有します。シェアウェアのバージョン
PKZIP Reg。 US Pat。およびTm。オフ。特許第5,051,745号

SFXのエラー – 抽出することができません！

ワームは、インストール中に、C：WINDOWS、C：WIN95、C：WIN98、C：WINNTの4つのWindowsディレクトリ名の「ハードコードされた」亜種を試し、Windowsが別の名前のディレクトリにインストールされたときにインストールを失敗します。

次のWindows起動時には、WindowsディレクトリからTYPEDEF.EXEファイルとしてワームコピーが有効になります。このワームは、TYPEDEF.INIファイルに格納されたカウンタを実行し、各Windows起動時に各TYPEDEF.EXEファイルの開始時に増分されます。ワームは、そのカウンター（3回に1回）に応じて、TYPEDEF.VBSファイルを作成し、電子メールメッセージに添付されたワームコピーを送信するVisualBasicScriptプログラムをそこに書き込みます。

そのプログラムはMS Outlookを開き、アドレス帳から電子メールアドレスを読み取り、それらのすべてにメッセージを送信します。メッセージの件名は「チェックアウト」です。メッセージテキストと添付ファイル名は8種類からランダムに選択されます。

Internet Explorer 5にはいくつかのセキュリティホールが残っていて、システムにファイルを書き込めるようなバグがあるようです。私はこの修正プログラムをダウンロードしました。私はアタッチメントとしてそれを送ります。
添付：IE5FIX.EXE

私はあなたがいくつかのサイトに行くときにポップアップする刺激的な広告を取り除くのを助ける何かを見つけました。私はアタッチメントとしてそれを送ります。
添付：NOADS.EXE

ここにあなたが好きかもしれないいくつかの画像があります。あなたは本当にそれらをチェックする必要があります。
アタッチ：IMAGES.EXE

私は人間に知られている最もクールな写真を送っています。あなたはそれらをチェックしたいかもしれません。
添付ファイル：COOLPICS.EXE

これらの文書を見てください。私はそれらを自己抽出装置で圧縮して送っています。
添付：DOCS.EXE

私はPKZipの最新のシェアウェア版のセットアップをお送りしています。優れた圧縮率が得られます。あなたはそれをインストールしたいかもしれません。
添付：PKSETUP.EXE

Internet Explorerのバグにパッチをダウンロードしました。私はアタッチメントとしてそれを送ります。
アタッチ：PATCH.EXE

私はクールな効果を持つスクリーンセーバーをダウンロードしました。私はあなたにそのインストールを送ります。試してみる
アタッチ：SCRNSAVE.EXE

また、カウンタに応じて、ワームはテキストを表示します：

 ------  - 
  -   -   -   - 
  --------------
   -   -   -   -   -   -   -   -   -   - 
   -   -   -   -   -   -   -   -   -   -   -   - 
   -   -   -   -   -   -   -   - 
 ---- ---- ---- -------- --- ---  - 

                                ----- ---  - 
                                 -   -   -   - 
                                --- --- --- ---  - 
                                  --- --- --- --- ---
                                    --- ----- -----  -   - 
                                 -   -   -   -   -   -   -   -   - 
                                 ----- --- --- --- --- --- ---

!!!スクランブルエッグ!!!
I-WORM.TSSE
[オフセット]でコード化

ワームにはテキスト文字列も含まれています：

Tossed SaladとスクランブルエッグスWorm = I-Worm.TSSE。 [オフセット]でコード化

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	VBS
説明	技術的な詳細このワームは電子メールメッセージに広がります。ワーム自体は約30KのDOS EXEファイルです。実行すると、TYPEDEF.EXE名でWindowsディレクトリに自身をインストールし、自動実行セクションのWIN.INIファイルに自身を登録します。ワームはその活動を隠すために、偽のメッセージを表示して終了します： PKSFX自己抽出ユーティリティー・バージョン2.50 03-01-1999 Copr。 1989-1999 PKWARE Inc.すべての権利を保有します。シェアウェアのバージョン PKZIP Reg。 US Pat。およびTm。オフ。特許第5,051,745号 SFXのエラー – 抽出することができません！ワームは、インストール中に、C：WINDOWS、C：WIN95、C：WIN98、C：WINNTの4つのWindowsディレクトリ名の「ハードコードされた」亜種を試し、Windowsが別の名前のディレクトリにインストールされたときにインストールを失敗します。次のWindows起動時には、WindowsディレクトリからTYPEDEF.EXEファイルとしてワームコピーが有効になります。このワームは、TYPEDEF.INIファイルに格納されたカウンタを実行し、各Windows起動時に各TYPEDEF.EXEファイルの開始時に増分されます。ワームは、そのカウンター（3回に1回）に応じて、TYPEDEF.VBSファイルを作成し、電子メールメッセージに添付されたワームコピーを送信するVisualBasicScriptプログラムをそこに書き込みます。そのプログラムはMS Outlookを開き、アドレス帳から電子メールアドレスを読み取り、それらのすべてにメッセージを送信します。メッセージの件名は「チェックアウト」です。メッセージテキストと添付ファイル名は8種類からランダムに選択されます。 Internet Explorer 5にはいくつかのセキュリティホールが残っていて、システムにファイルを書き込めるようなバグがあるようです。私はこの修正プログラムをダウンロードしました。私はアタッチメントとしてそれを送ります。添付：IE5FIX.EXE 私はあなたがいくつかのサイトに行くときにポップアップする刺激的な広告を取り除くのを助ける何かを見つけました。私はアタッチメントとしてそれを送ります。添付：NOADS.EXE ここにあなたが好きかもしれないいくつかの画像があります。あなたは本当にそれらをチェックする必要があります。アタッチ：IMAGES.EXE 私は人間に知られている最もクールな写真を送っています。あなたはそれらをチェックしたいかもしれません。添付ファイル：COOLPICS.EXE これらの文書を見てください。私はそれらを自己抽出装置で圧縮して送っています。添付：DOCS.EXE 私はPKZipの最新のシェアウェア版のセットアップをお送りしています。優れた圧縮率が得られます。あなたはそれをインストールしたいかもしれません。添付：PKSETUP.EXE Internet Explorerのバグにパッチをダウンロードしました。私はアタッチメントとしてそれを送ります。アタッチ：PATCH.EXE 私はクールな効果を持つスクリーンセーバーをダウンロードしました。私はあなたにそのインストールを送ります。試してみるアタッチ：SCRNSAVE.EXE また、カウンタに応じて、ワームはテキストを表示します： ------ - - - - - -------------- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ---- ---- ---- -------- --- --- - ----- --- - - - - - --- --- --- --- - --- --- --- --- --- --- ----- ----- - - - - - - - - - - - ----- --- --- --- --- --- --- !!!スクランブルエッグ!!! I-WORM.TSSE [オフセット]でコード化ワームにはテキスト文字列も含まれています： Tossed SaladとスクランブルエッグスWorm = I-Worm.TSSE。 [オフセット]でコード化
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.VBS.Tossed

技術的な詳細