Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは添付のEXEファイルとして電子メールを介して拡散するインターネットワームです。ワーム自体は約70KBのWin32実行可能ファイルで、VisualBasicで書かれています。ワームには多くのバグがあり、多くの場合（どの環境でも）、ワームのファイルは送信メッセージには添付されず、ワームの意図とは異なるメッセージテキストが表示されます。

ワームは影響を受けるコンピュータから感染するために、MS Outlookを使用し、MS Outlookアドレス帳とWindowsアドレス帳からアドレスを取得し、そこでメッセージを送信します。ワームは、拡散ルーチンが実行されるたびに、感染したメッセージをvb.master@angelfire.comに送信します。

SubjectとBodyというメッセージは次のように表示されます（これらはワームコードのバグのためではありません）。 [％CurrentDate％]は現在の日付です。

件名：
メッセージテキスト：

ねえ、今これで..–と話すことができます
こんにちは
私は新しいメッセンジャーを書いたので、話すことができます。
付属の自己抽出可能なジップをインストールする

私の映画クリップ..
Hiii
私はウェブカメラを持っていて、私の映画クリップはほとんど撮らなかった。
添付の自己抽出可能なものを抽出して、それらを見る。
リルいたずらなもの..
ちょっと..
私はいくつかの素晴らしい、エロティックな映画クリップが自己抽出可能に含まれている

私は昨日これらのMP3をダウンロードしました..
ハウディ..
ねえ、彼らは本当に素晴らしいです..それらを見るために自己解凍式のジッパーを抽出します..

私のちょっと変わったもの。
Hehehe ..
私はあなたのために準備したケーキを見て.. bye 4 now buddy ..

ウイルス警告..
ねえ、気をつけて..
このメールをあなたが知っている人に転送してください。今日、[％CurrentDate％] FBI
深刻なウイルスが広がっていると発表しました。これは.VBSを持つファイルです
拡張、愛のバグとよく似ています。そのためのジップを参照してください

ビジネス上の問題..
先生、
私の会社は、新しい
あなたとのパートナーシップ。プレゼンテーションが添付され、親切にそれを見て、すぐに返信します。

法的通知..
サー/マダム
私たちはクライアントから法的通知をあなたに送ってくれました。
[％現在の日付％]。添付の詳細をよく読んで、できるだけ早く返信してください

グリーティングカード4あなた..
Greeeesetings ..
あなたがうまくやっていることを願って。 ECard添付の4を参照してください..

ワームのEXEファイルが添付ファイルから実行されると、SysTray.exeとSysCheck.exeを名前としてWindowsおよびWindowsのシステムディレクトリに自身をコピーし、これらのファイルをWindowsレジストリの自動実行セクションに登録します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =％WindowsDir％SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =％SystemDir％SysCheck.exe

注：元のSYSTRAY.EXEはWindowsシステムディレクトリにあり、ワームのようにWindowsディレクトリにはありません。

ワームは、その活動を隠すために、次のメッセージを表示します。

マイクロソフトウィンドウズ
アプリケーション％ApplicationName％が、一般保護違反を発生させました。
モジュールKernel.exeを実行し、終了します。 [OK]を押して続行します
[ OK ]

％ApplicationName％はワームのファイル名です。

C： WINDOWSディレクトリの "C：My Documents"と* .DLLファイルのすべてのファイルを消去するトロイの木馬をC：AUTOEXEC.BATファイルに上書きします。トロイの木馬のコードには、次のメッセージも表示されます。

セットアップファイルの更新中にお待ちください。これには数分かかる場合があります..
今Windowsをロードしています..

ワームはまた、リモートハッカーのために影響を受けるコンピュータを「開く」バックドアコンポーネントも持っています。バックドアルーチンは以下を可能にします：

ドライブ上のシステム、ディレクトリ、ファイル内のドライブの報告
ファイルの読み込み、書き込み、コピー、削除
ディレクトリの変更、作成、削除
レジストリキーの読み取り、書き込み
指定された住所にメールを送信する
ファイルを実行する
forse Windowsを終了する

ワームコードには "3DStars server"というテキストが含まれているため、ワーム名にその名前が付けられます。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは添付のEXEファイルとして電子メールを介して拡散するインターネットワームです。ワーム自体は約70KBのWin32実行可能ファイルで、VisualBasicで書かれています。ワームには多くのバグがあり、多くの場合（どの環境でも）、ワームのファイルは送信メッセージには添付されず、ワームの意図とは異なるメッセージテキストが表示されます。ワームは影響を受けるコンピュータから感染するために、MS Outlookを使用し、MS Outlookアドレス帳とWindowsアドレス帳からアドレスを取得し、そこでメッセージを送信します。ワームは、拡散ルーチンが実行されるたびに、感染したメッセージをvb.master@angelfire.comに送信します。 SubjectとBodyというメッセージは次のように表示されます（これらはワームコードのバグのためではありません）。 [％CurrentDate％]は現在の日付です。件名：メッセージテキスト：ねえ、今これで..–と話すことができますこんにちは私は新しいメッセンジャーを書いたので、話すことができます。付属の自己抽出可能なジップをインストールする私の映画クリップ.. Hiii 私はウェブカメラを持っていて、私の映画クリップはほとんど撮らなかった。添付の自己抽出可能なものを抽出して、それらを見る。リルいたずらなもの.. ちょっと.. 私はいくつかの素晴らしい、エロティックな映画クリップが自己抽出可能に含まれている私は昨日これらのMP3をダウンロードしました.. ハウディ.. ねえ、彼らは本当に素晴らしいです..それらを見るために自己解凍式のジッパーを抽出します.. 私のちょっと変わったもの。 Hehehe .. 私はあなたのために準備したケーキを見て.. bye 4 now buddy .. ウイルス警告.. ねえ、気をつけて.. このメールをあなたが知っている人に転送してください。今日、[％CurrentDate％] FBI 深刻なウイルスが広がっていると発表しました。これは.VBSを持つファイルです拡張、愛のバグとよく似ています。そのためのジップを参照してくださいビジネス上の問題.. 先生、私の会社は、新しいあなたとのパートナーシップ。プレゼンテーションが添付され、親切にそれを見て、すぐに返信します。法的通知.. サー/マダム私たちはクライアントから法的通知をあなたに送ってくれました。 [％現在の日付％]。添付の詳細をよく読んで、できるだけ早く返信してくださいグリーティングカード4あなた.. Greeeesetings .. あなたがうまくやっていることを願って。 ECard添付の4を参照してください.. ワームのEXEファイルが添付ファイルから実行されると、SysTray.exeとSysCheck.exeを名前としてWindowsおよびWindowsのシステムディレクトリに自身をコピーし、これらのファイルをWindowsレジストリの自動実行セクションに登録します。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemTray =％WindowsDir％SysTray.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemCheck =％SystemDir％SysCheck.exe 注：元のSYSTRAY.EXEはWindowsシステムディレクトリにあり、ワームのようにWindowsディレクトリにはありません。ワームは、その活動を隠すために、次のメッセージを表示します。マイクロソフトウィンドウズアプリケーション％ApplicationName％が、一般保護違反を発生させました。モジュールKernel.exeを実行し、終了します。 [OK]を押して続行します [ OK ] ％ApplicationName％はワームのファイル名です。 C： WINDOWSディレクトリの "C：My Documents"と* .DLLファイルのすべてのファイルを消去するトロイの木馬をC：AUTOEXEC.BATファイルに上書きします。トロイの木馬のコードには、次のメッセージも表示されます。セットアップファイルの更新中にお待ちください。これには数分かかる場合があります.. 今Windowsをロードしています.. ワームはまた、リモートハッカーのために影響を受けるコンピュータを「開く」バックドアコンポーネントも持っています。バックドアルーチンは以下を可能にします：ドライブ上のシステム、ディレクトリ、ファイル内のドライブの報告ファイルの読み込み、書き込み、コピー、削除ディレクトリの変更、作成、削除レジストリキーの読み取り、書き込み指定された住所にメールを送信するファイルを実行する forse Windowsを終了するワームコードには "3DStars server"というテキストが含まれているため、ワーム名にその名前が付けられます。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.3DStars

技術的な詳細