技術的な詳細 h2>
これはWin32システム上に広がるワームです。ウイルスは電子メールメッセージを送信します
感染したファイルが添付され、スパイトロイの木馬コンポーネントがインストールされます
感染したシステムからの情報を盗み出すこのワームは発見されました
2001年11月には野生の野生であった。 p>
ワーム自体は、Win32実行可能ファイル(PE EXEファイル)です。それが見つかった
圧縮された形式では野生のもので、サイズは約29KBです。存在すると
解凍すると、ワームのファイルの長さは約60KBになります。 p>
ワームは、2つの主要コンポーネント、ワームとトロイの木馬で構成されています。ワーム”
コンポーネントが感染メッセージを送信し、 “トロイの木馬”コンポーネントが感染メッセージを送信する
からの情報(ユーザーの情報、RASデータ、キャッシュされたパスワード、キーボードログ)
感染したコンピュータを特定の電子メールアドレスに変換します。それはまた、 “keylogger”
プログラムの本体をコードに埋め込み、システムにインストールします。新しいコードを感染させます
マシン p>
システムに感染する b> p>
感染したファイルが実行されたとき(ユーザーが添付ファイルをクリックすると
またはIFRAMEのセキュリティ違反によって制御された場合)
ワームコードは制御を得ます。まず第一に、それはドロップ(インストール)
そのコンポーネントをシステムに登録し、システムレジストリに登録します。 p>
インストールされているトロイの木馬のファイル名、ターゲットディレクトリ、およびレジストリキーは次のとおりです。
オプション。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。
ハッカーは、それらを被害者のマシンに送信する前に設定することができます。
それをWebサイトに置く前に。 p>
ワームはまた、追加のキーボードフッカー(Win32 DLLファイル)をシステムにドロップし、
これを使用してキーボードで入力したテキストを偵察します。 DLLファイル名は次のとおりです。
オプションとしても使用できます。 p>
その他のオプション機能は次のとおりです。 p>
– インストールが完了したら、元の感染ファイルを削除する
– キーボードログファイルのサイズ
blockquote>
普及 b> p>
ワームは、感染したメッセージを送信するために、SMTPサーバーへの直接接続を使用します。
被害者の電子メールアドレスは、2つの異なる方法で取得されます。 p>
#1。ワームは* .HT *と* .ASPファイルをスキャンし、ここから電子メールアドレスを抽出します。
#2。このワームは、MAPI機能を使用して、受信ボックスからすべての電子メールを読み取り、
ここから電子メールアドレスを取得します。
blockquote>
次に、ワームは感染したメッセージを送信します。メッセージ本文にはHTML形式が含まれています。
IFRAME違反を使用して、脆弱なマシンに感染した添付ファイルを生成します。 p>
メッセージフィールドは次のとおりです。 p>
送信者: – 元の送信者、または偽のアドレス、ランダムに選択されたもの: p>
“Anna”
“JUDY”
“Rita Tulliani”
“Tina”
“Kelly Andersen” br>
“Andy”
“Linda”
“Mon S”
“Joanna”
“JESSICA BENAVIDES”
“Administrator”
“Admin”
“Support”
“Monika Prado”
“Mary L. Adams”
“Anna”
“JUDY”
“Tina”
blockquote>
元の送信者アドレスは少し変更されています: “_”文字が挿入されています
そこの電子メールアドレスの前に、たとえば: p>
“John K. Smith” “Vasja Pupkin” – 元の住所 p>
“John K. Smith” <_john123@yahoo.com> “Vasja Pupkin” <_vasyap@rambler.ru> – ワームによって送信
blockquote>
件名 b>:空白、「Re:」、「Re:
受信トレイメッセージ(上記#2を参照)
本文 b>:空
添付ファイル b>:無作為に選択された “ファイル名+ ext1 + ext2″場所:
“ファイル名”:
写真(またはPICS)カード(またはカード)
画像(または画像)Me_nude(またはME_NUDE)
README Sorry_about_yesterday
New_Napster_Site情報
news_doc(またはNEWS_DOC)docs(またはDOCS)
ハムスターのユーモア(またはHUMOR)
あなたは太っている! (またはYOU_ARE_FAT!)fun(またはFUN)
検索キーワード
セットアップS3MSONG
"ext1":.DOC .ZIP .MP3
"ext2":.scr、.pif
pre>
blockquote>
blockquote>
例: "info.DOC.scr" p>
ワームは感染したメッセージを同じアドレスに2回送信しません。これをする、
感染したすべての電子メールをWindowsシステムディレクトリのPROTOCOL.DLLに格納します
新しいメッセージを送信する前にこのファイルの内容をチェックします。 p>
blockquote>
blockquote>
スパイトロイの木馬 b>
このルーチンは、盗まれた情報をログファイルに保存します(オプションの名前)。
この情報をキーで暗号化します(オプション)。一定期間後、この
情報は、番号のいずれかに送信されます。
|