本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.BadtransII

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これはWin32システム上に広がるワームです。ウイルスは電子メールメッセージを送信します
感染したファイルが添付され、スパイトロイの木馬コンポーネントがインストールされます
感染したシステムからの情報を盗み出すこのワームは発見されました
2001年11月には野生の野生であった。

ワーム自体は、Win32実行可能ファイル(PE EXEファイル)です。それが見つかった
圧縮された形式では野生のもので、サイズは約29KBです。存在すると
解凍すると、ワームのファイルの長さは約60KBになります。

ワームは、2つの主要コンポーネント、ワームとトロイの木馬で構成されています。ワーム”
コンポーネントが感染メッセージを送信し、 “トロイの木馬”コンポーネントが感染メッセージを送信する
からの情報(ユーザーの情報、RASデータ、キャッシュされたパスワード、キーボードログ)
感染したコンピュータを特定の電子メールアドレスに変換します。それはまた、 “keylogger”
プログラムの本体をコードに埋め込み、システムにインストールします。新しいコードを感染させます
マシン

システムに感染する

感染したファイルが実行されたとき(ユーザーが添付ファイルをクリックすると
またはIFRAMEのセキュリティ違反によって制御された場合)
ワームコードは制御を得ます。まず第一に、それはドロップ(インストール)
そのコンポーネントをシステムに登録し、システムレジストリに登録します。

インストールされているトロイの木馬のファイル名、ターゲットディレクトリ、およびレジストリキーは次のとおりです。
オプション。それらは暗号化された形でファイルの最後のトロイの木馬ファイルに格納されます。
ハッカーは、それらを被害者のマシンに送信する前に設定することができます。
それをWebサイトに置く前に。

ワームはまた、追加のキーボードフッカー(Win32 DLLファイル)をシステムにドロップし、
これを使用してキーボードで入力したテキストを偵察します。 DLLファイル名は次のとおりです。
オプションとしても使用できます。

その他のオプション機能は次のとおりです。

  – インストールが完了したら、元の感染ファイルを削除する
  – キーボードログファイルのサイズ

普及

ワームは、感染したメッセージを送信するために、SMTPサーバーへの直接接続を使用します。
被害者の電子メールアドレスは、2つの異なる方法で取得されます。

 #1。ワームは* .HT *と* .ASPファイルをスキャンし、ここから電子メールアドレスを抽出します。
 #2。このワームは、MAPI機能を使用して、受信ボックスからすべての電子メールを読み取り、
     ここから電子メールアドレスを取得します。

次に、ワームは感染したメッセージを送信します。メッセージ本文にはHTML形式が含まれています。
IFRAME違反を使用して、脆弱なマシンに感染した添付ファイルを生成します。

メッセージフィールドは次のとおりです。

 送信者: – 元の送信者、または偽のアドレス、ランダムに選択されたもの:

  “Anna”
  “JUDY”
  “Rita Tulliani”   “Tina”
  “Kelly Andersen”
  “Andy”
  “Linda”
  “Mon S”
  “Joanna”
  “JESSICA BENAVIDES”
  “Administrator”
  “Admin”
  “Support”
  “Monika Prado”
  “Mary L. Adams”
  “Anna”   “JUDY”
  “Tina”

元の送信者アドレスは少し変更されています: “_”文字が挿入されています
そこの電子メールアドレスの前に、たとえば:

 “John K. Smith” “Vasja Pupkin” – 元の住所
 “John K. Smith” <_john123@yahoo.com> “Vasja Pupkin” <_vasyap@rambler.ru> – ワームによって送信

件名:空白、「Re:」、「Re:
受信トレイメッセージ(上記#2を参照)

本文:空

添付ファイル:無作為に選択された “ファイル名+ ext1 + ext2″場所:

 “ファイル名”:

 写真(またはPICS)カード(またはカード)
 画像(または画像)Me_nude(またはME_NUDE)
 README Sorry_about_yesterday
 New_Napster_Site情報
 news_doc(またはNEWS_DOC)​​docs(またはDOCS)
 ハムスターのユーモア(またはHUMOR)
 あなたは太っている! (またはYOU_ARE_FAT!)fun(またはFUN)
 検索キーワード
 セットアップS3MSONG

 "ext1":.DOC .ZIP .MP3
 "ext2":.scr、.pif


例: "info.DOC.scr"

ワームは感染したメッセージを同じアドレスに2回送信しません。これをする、
感染したすべての電子メールをWindowsシステムディレクトリのPROTOCOL.DLLに格納します
新しいメッセージを送信する前にこのファイルの内容をチェックします。


スパイトロイの木馬

このルーチンは、盗まれた情報をログファイルに保存します(オプションの名前)。
この情報をキーで暗号化します(オプション)。一定期間後、この
情報は、番号のいずれかに送信されます。


オリジナルへのリンク