Email-Worm.Win32.Aliz

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体はWindows PE EXEファイルで、約4KBの長さで、アセンブラで書かれています。メインのワームコードは、組み込みのaPLibデータ圧縮アルゴリズムによって圧縮されるため、オリジナルのワームコードは約6KBです。

感染したメッセージには以下が含まれます：

件名 ：different（下記参照）
本文 ：空のHTMLメッセージ
アタッチ ：whatever.exe

Subjectは、バリアント（str1 + str2 + … + str5）からランダムに構築されます。

 str1
 ----

 Fw：
 Fw：Re：

次に：

 str2 str3 str4 str5
 ---- ---- -------

 クールなウェブサイトをチェック！      
 あなたのための素敵なサイト！       
 私が見つけた熱い写真:-)     
 いくつかのURLを見て？      
 面白い写真はここでhehe ;-)
 変なもの - それをチェック              
 ファンキーなmp3                                
 すごいくそ                                
 面白い音楽                               
 多くの情報                                

ワームは、感染したメッセージから実行するために、セキュリティ侵害（IFRAMEの脆弱性、 「Nimda」ワームが使用するものに似ています）を使用します。したがって、ワームは感染した電子メールから単にメッセージを読むかプレビューする際に活性化されるかもしれません。

感染したファイルが実行されると、アンパックルーチンが制御を受け、メインワームコードがメモリに展開され、メモリにジャンプします。メインコードは、感染したメッセージをWAB（Windowsアドレス帳）にある電子メールアドレスに送信します。ワームは、電子メールを送信するために、SMTPサーバーをデフォルトに接続します。

ワームは自分自身をシステムにインストールせず、（ユーザーが添付の電子メールを再度クリックする場合を除いて）もうアクティブ化されません。

ワームはペイロードルーチンを持たず、決してそれ自体を明示しません。

電子メールの配布ルーチンには間違いがあり、多くの電子メールクライアント/サーバー構成では感染を広げることはできないようだ。

ワームに関する最も興味深いのは、起動と拡散のルーチン（これはメインルーチン）が約3Kの実行可能コードでいっぱいであるという事実です。

このワームは以下のテキストを含んでいます：

::: iworm.alizee.by.mar00n！ikx2oo1 :::
このテキストを入力している間、このテキストは多くのav記述サイトに追加されていることがわかります。この愚かなワームは簡単に誇大宣伝することができます。どのAvの申し立て[企業名]がハイリスクワームを止めてから逃げ出すのだろうか？またはそれのようにたわごと。私はこのテキストのために私のウイルスをボイコットしています。まあ、それは貧しいAVのためにこのワームを追加するのは簡単ですが、それは、単にcoderz＃2のソースとしてリリースされたためです.btw、loveletter * 2は純粋なwin32asmでパワーがあり、唯一の4k exeファイルです。 heh、vbs kiddies、phear win32asm。 🙂 thx：バンブルビー！29a、asmodeus！ikx。私はあなたの恋人と一緒にいたのですか？