本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.3DStars

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは添付のEXEファイルとして電子メールを介して拡散するインターネットワームです。ワーム自体は約70KBのWin32実行可能ファイルで、VisualBasicで書かれています。ワームには多くのバグがあり、多くの場合(どの環境でも)、ワームのファイルは送信メッセージには添付されず、ワームの意図とは異なるメッセージテキストが表示されます。

ワームは影響を受けるコンピュータから感染するために、MS Outlookを使用し、MS Outlookアドレス帳とWindowsアドレス帳からアドレスを取得し、そこでメッセージを送信します。ワームは、拡散ルーチンが実行されるたびに、感染したメッセージをvb.master@angelfire.comに送信します。

SubjectとBodyというメッセージは次のように表示されます(これらはワームコードのバグのためではありません)。 [%CurrentDate%]は現在の日付です。

件名:
メッセージテキスト:

ねえ、今これで..–と話すことができます
こんにちは
私は新しいメッセンジャーを書いたので、話すことができます。
付属の自己抽出可能なジップをインストールする

私の映画クリップ..
Hiii
私はウェブカメラを持っていて、私の映画クリップはほとんど撮らなかった。
添付の自己抽出可能なものを抽出して、それらを見る。
リルいたずらなもの..
ちょっと..
私はいくつかの素晴らしい、エロティックな映画クリップが自己抽出可能に含まれている

私は昨日これらのMP3をダウンロードしました..
ハウディ..
ねえ、彼らは本当に素晴らしいです..それらを見るために自己解凍式のジッパーを抽出します..

私のちょっと変わったもの。
Hehehe ..
私はあなたのために準備したケーキを見て.. bye 4 now buddy ..

ウイルス警告..
ねえ、気をつけて..
このメールをあなたが知っている人に転送してください。今日、[%CurrentDate%] FBI
深刻なウイルスが広がっていると発表しました。これは.VBSを持つファイルです
拡張、愛のバグとよく似ています。そのためのジップを参照してください

ビジネス上の問題..
先生、
私の会社は、新しい
あなたとのパートナーシップ。プレゼンテーションが添付され、親切にそれを見て、すぐに返信します。

法的通知..
サー/マダム
私たちはクライアントから法的通知をあなたに送ってくれました。
[%現在の日付%]。添付の詳細をよく読んで、できるだけ早く返信してください

グリーティングカード4あなた..
Greeeesetings ..
あなたがうまくやっていることを願って。 ECard添付の4を参照してください..

ワームのEXEファイルが添付ファイルから実行されると、SysTray.exeとSysCheck.exeを名前としてWindowsおよびWindowsのシステムディレクトリに自身をコピーし、これらのファイルをWindowsレジストリの自動実行セクションに登録します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray =%WindowsDir%SysTray.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemCheck =%SystemDir%SysCheck.exe

注:元のSYSTRAY.EXEはWindowsシステムディレクトリにあり、ワームのようにWindowsディレクトリにはありません。

ワームは、その活動を隠すために、次のメッセージを表示します。

マイクロソフトウィンドウズ
アプリケーション%ApplicationName%が、一般保護違反を発生させました。
モジュールKernel.exeを実行し、終了します。 [OK]を押して続行します
[ OK ]

%ApplicationName%はワームのファイル名です。

C: WINDOWSディレクトリの "C:My Documents"と* .DLLファイルのすべてのファイルを消去するトロイの木馬をC:AUTOEXEC.BATファイルに上書きします。トロイの木馬のコードには、次のメッセージも表示されます。

セットアップファイルの更新中にお待ちください。これには数分かかる場合があります..
今Windowsをロードしています..

ワームはまた、リモートハッカーのために影響を受けるコンピュータを「開く」バックドアコンポーネントも持っています。バックドアルーチンは以下を可能にします:

ドライブ上のシステム、ディレクトリ、ファイル内のドライブの報告
ファイルの読み込み、書き込み、コピー、削除
ディレクトリの変更、作成、削除
レジストリキーの読み取り、書き込み
指定された住所にメールを送信する
ファイルを実行する
forse Windowsを終了する

ワームコードには "3DStars server"というテキストが含まれているため、ワーム名にその名前が付けられます。


オリジナルへのリンク