親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細 h2>
これはWin32システム上に広がるワームです。ウイルスは電子メールメッセージを送信します感染したファイルが添付され、スパイトロイの木馬コンポーネントがインストールされます感染したシステムからの情報を盗み出すこのワームは発見されました2001年11月には野生の野生であった。 p>
ワーム自体は、Win32実行可能ファイル(PE EXEファイル)です。それが見つかった圧縮された形式では野生のもので、サイズは約29KBです。存在すると解凍すると、ワームのファイルの長さは約60KBになります。 p>
ワームは、2つの主要コンポーネント、ワームとトロイの木馬で構成されています。ワーム"コンポーネントが感染メッセージを送信し、 "トロイの木馬"コンポーネントが感染メッセージを送信するからの情報(ユーザーの情報、RASデータ、キャッシュされたパスワード、キーボードログ)感染したコンピュータを特定の電子メールアドレスに変換します。それはまた、 "keylogger"プログラムの本体をコードに埋め込み、システムにインストールします。新しいコードを感染させますマシン p>
システムに感染する b> p>
感染したファイルが実行されたとき(ユーザーが添付ファイルをクリックするとまたはIFRAMEのセキュリティ違反によって制御された場合)ワームコードは制御を得ます。まず第一に、それはドロップ(インストール)そのコンポーネントをシステムに登録し、システムレジストリに登録します。 p>
インストールされているトロイの木馬のファイル名、ターゲットディレクトリ、およびレジストリキーは次のとおりです。オプション。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。ハッカーは、それらを被害者のマシンに送信する前に設定することができます。それをWebサイトに置く前に。 p>
ワームはまた、追加のキーボードフッカー(Win32 DLLファイル)をシステムにドロップし、これを使用してキーボードで入力したテキストを偵察します。 DLLファイル名は次のとおりです。オプションとしても使用できます。 p>
その他のオプション機能は次のとおりです。 p>
- インストールが完了したら、元の感染ファイルを削除する
- キーボードログファイルのサイズ
blockquote>普及 b> p>
ワームは、感染したメッセージを送信するために、SMTPサーバーへの直接接続を使用します。被害者の電子メールアドレスは、2つの異なる方法で取得されます。 p>
#1。ワームは* .HT *と* .ASPファイルをスキャンし、ここから電子メールアドレスを抽出します。 #2。このワームは、MAPI機能を使用して、受信ボックスからすべての電子メールを読み取り、 ここから電子メールアドレスを取得します。
blockquote>次に、ワームは感染したメッセージを送信します。メッセージ本文にはHTML形式が含まれています。IFRAME違反を使用して、脆弱なマシンに感染した添付ファイルを生成します。 p>
メッセージフィールドは次のとおりです。 p>
送信者: - 元の送信者、または偽のアドレス、ランダムに選択されたもの: p>"Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"br> "Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
"Administrator"
"Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
"Anna"
"JUDY"
"Tina"
blockquote>元の送信者アドレスは少し変更されています: "_"文字が挿入されていますそこの電子メールアドレスの前に、たとえば: p>
"John K. Smith""Vasja Pupkin" - 元の住所 p> "John K. Smith" <_john123@yahoo.com> "Vasja Pupkin" <_vasyap@rambler.ru> - ワームによって送信
blockquote>件名 b>:空白、「Re:」、「Re:受信トレイメッセージ(上記#2を参照)
本文 b>:空添付ファイル b>:無作為に選択された "ファイル名+ ext1 + ext2"場所:"ファイル名":写真(またはPICS)カード(またはカード) 画像(または画像)Me_nude(またはME_NUDE) README Sorry_about_yesterday New_Napster_Site情報 news_doc(またはNEWS_DOC)docs(またはDOCS) ハムスターのユーモア(またはHUMOR) あなたは太っている! (またはYOU_ARE_FAT!)fun(またはFUN) 検索キーワード セットアップS3MSONG "ext1":.DOC .ZIP .MP3 "ext2":.scr、.pif pre> blockquote> blockquote>例: "info.DOC.scr" p>
ワームは感染したメッセージを同じアドレスに2回送信しません。これをする、感染したすべての電子メールをWindowsシステムディレクトリのPROTOCOL.DLLに格納します新しいメッセージを送信する前にこのファイルの内容をチェックします。 p>
blockquote> blockquote>
スパイトロイの木馬 b>
このルーチンは、盗まれた情報をログファイルに保存します(オプションの名前)。この情報をキーで暗号化します(オプション)。一定期間後、この情報は、番号のいずれかに送信されます。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!