本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Aliz

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体はWindows PE EXEファイルで、約4KBの長さで、アセンブラで書かれています。メインのワームコードは、組み込みのaPLibデータ圧縮アルゴリズムによって圧縮されるため、オリジナルのワームコードは約6KBです。

感染したメッセージには以下が含まれます:

件名 :different(下記参照)
本文 :空のHTMLメッセージ
アタッチ :whatever.exe

Subjectは、バリアント(str1 + str2 + … + str5)からランダムに構築されます。

 str1
 ----

 Fw:
 Fw:Re:

次に:

 str2 str3 str4 str5
 ---- ---- -------

 クールなウェブサイトをチェック!      
 あなたのための素敵なサイト!       
 私が見つけた熱い写真:-)     
 いくつかのURLを見て?      
 面白い写真はここでhehe ;-)
 変なもの - それをチェック              
 ファンキーなmp3                                
 すごいくそ                                
 面白い音楽                               
 多くの情報                                

ワームは、感染したメッセージから実行するために、セキュリティ侵害(IFRAMEの脆弱性、 「Nimda」ワームが使用するものに似ています)を使用します。したがって、ワームは感染した電子メールから単にメッセージを読むかプレビューする際に活性化されるかもしれません。

感染したファイルが実行されると、アンパックルーチンが制御を受け、メインワームコードがメモリに展開され、メモリにジャンプします。メインコードは、感染したメッセージをWAB(Windowsアドレス帳)にある電子メールアドレスに送信します。ワームは、電子メールを送信するために、SMTPサーバーをデフォルトに接続します。

ワームは自分自身をシステムにインストールせず、(ユーザーが添付の電子メールを再度クリックする場合を除いて)もうアクティブ化されません。

ワームはペイロードルーチンを持たず、決してそれ自体を明示しません。

電子メールの配布ルーチンには間違いがあり、多くの電子メールクライアント/サーバー構成では感染を広げることはできないようだ。

ワームに関する最も興味深いのは、起動と拡散のルーチン(これはメインルーチン)が約3Kの実行可能コードでいっぱいであるという事実です。

このワームは以下のテキストを含んでいます:

::: iworm.alizee.by.mar00n!ikx2oo1 :::
このテキストを入力している間、このテキストは多くのav記述サイトに追加されていることがわかります。この愚かなワームは簡単に誇大宣伝することができます。どのAvの申し立て[企業名]がハイリスクワームを止めてから逃げ出すのだろうか?またはそれのようにたわごと。私はこのテキストのために私のウイルスをボイコットしています。まあ、それは貧しいAVのためにこのワームを追加するのは簡単ですが、それは、単にcoderz#2のソースとしてリリースされたためです.btw、loveletter * 2は純粋なwin32asmでパワーがあり、唯一の4k exeファイルです。 heh、vbs kiddies、phear win32asm。 🙂 thx:バンブルビー!29a、asmodeus!ikx。私はあなたの恋人と一緒にいたのですか?


オリジナルへのリンク