Email-Worm.Win32.Burnox

技術的な詳細

Burnoxは、インターネットを介して感染した電子メールの添付ファイルとして広がり、Kazaaファイル共有ネットワークを介して広がるワームウィルスです。ワームはまた、Webサイトからダウンロードし、バックドア型トロイの木馬をシステムにインストールします。

ワーム自体は約4KBのサイズのWindows PE EXEファイル（FSGで圧縮された場合、解凍サイズは約20KBです）であり、VisualBasicで書かれています。

インストール

ワームをインストールすると、 "MicrosoftUpdate.com"という名前でWindowsシステムディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Windows Update =％SystemDir％MicrosoftUpdate.com

％SystemDir％はWindowsシステムのディレクトリパスです。

ワームはまた、システムレジストリキーを作成し、カウンタを保持します。

   HKLMSOFTWAREMicrosoftWindowsCurrentVersionスタートアップ=％counter％

％counter％は '1'に設定され、各ワームの起動ごとに増加します。このカウンタに応じて、ワームは拡散ルーチンを起動します。

広がり：EMail

感染したメッセージを送信するために、ワームはMS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。 ifectedメッセージのフィールドテキストは次のとおりです。

 件名：重要：Microsoft Windowsパッチfor XP、2k、ME、98,95。

 体：      

   マイクロソフトは、すべてのバージョンのMicrosoft Windowsに対してこのパッチをリリースします。
   このアップデートは、最近の脆弱性の多くを修正します。
   今すぐオペレーティングシステムにパッチを適用することをお勧めします。それは必須ではありませんが。

   *ご注意ください*これは実際のMicrosoftのパッチではありません。添付されたプログラムはMicrosoft Update

 添付：MicrosoftUpdate.com

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンを実行します。

広がり：KaZaa

ワームは、Windowsシステムディレクトリに "system16"という名前のサブディレクトリを作成し、そこに自身の名前をコピーします。

   kmd.exe Game Trainer.exe Hacker.exe                         
   icq2003a.exe Game.exe Hacks.exe                          
   icq2003b.exe App.exe xbox Hacker.exe                    
   icq2003Final.exe App Crack.exe Ps2 Bios Emulation.exe             
   icq2002a.exe Cracker.exe xbox Bios Hack.exe                 
   icq2003a.exe Games.exeでPS2ゲームをシングルCD-R.exeに書き込む
   icq crack.exeゲームtrainer.exe Burn ps2.exe                       
   aim crack.exe Trainer.exe burn xbox.exe                      
   icq lite.exe Cheat.exe burn dream.exe                 
   imeshv2.exeゲームのHack.exe   

「system16」ディレクトリはKazaaファイル共有リソースとして登録されます。

バックドア型トロイの木馬のインストール

ワームはhttp://www.wawater.comのWebサイトから "Backdoor.Slackbot"をダウンロードし、 "c：unxrt.exe"ファイルに保存して実行します。