本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Calposa

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

Calposaは、インターネットを介して感染した電子メールへの添付ファイルとして、またKazaaファイル共有ネットワークを介して広がるワームウイルスです。ワーム自体は約57KBのWindows PE EXEファイルで、Visual Basicで記述されています。

感染した電子メールメッセージには、次の属性があります。

件名:アンチウイルスプログラムがあなたのソフトウェアを壊しています!

体:

なぜあなたは迷惑メールを取得するのか知りたいですか?まあAVがあなたのプログラムを壊しており、あなたの個人情報をWeb Companyに売っているという証拠です!そんなに多くのウイルスがあると思うのはなぜですか?よくそれらの会社のそれらを広げて、それらを削除する製品をそこに販売する!それを今すぐチェックしてください…(psのattatched)

添付:ActiveX.exe、Telnet.exe、またはMSWord.exe

ワームは、添付ファイルをクリックした場合にのみ感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール
ワームのインストール中に、以下の名前で自身をシステムにコピーします。

C:WindowsActiveX.exe
C:WindowsSCR.exe
C:WindowsExplorer.exe
C:WindowsTelnet.exe
C:WindowsMSWord.exe
C:WindowsFUCK_AVs.exe
C:Windowsregedit.exe
C:WindowsMixer.exe
C:WINDOWSSystemExplorer.exe

ワームは、これらのファイルのいずれも、システムレジストリの自動実行キー、または他の "自動実行"キーまたはコマンドのいずれにも登録しません。

広がり:電子メール
感染したメッセージを送信するために、ワームはMS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

普及:カザ
ワームは自身を "C:Program FilesKaZaaMy Shared Folder"ディレクトリに次の名前でコピーします。

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

このディレクトリがKazaaファイル共有ディレクトリの場合、このワームはKazaaネットワーク上に広がります。

ペイロード
ワームはメッセージを表示します:

ああオオカミ!
… Industry @ ANVXgroupによるCalposa …

このワームは、データの後に "c:WindowsSystem.ini"ファイルに書き込みます。

[約]
著者=インダストリー
VXgroup = ANVXgroup(Auxnet)
Virus = ANVX(WIN32.calposa@mm)
叫ぶ= Indovirus、mANiAC89、Retro、Iwing、そして他のすべて。
ファック=すべてのAVのファック、私たちはあなたの仕事であなたを保つので、少し余裕を与える!
残りの人に= ANVXだけ!

ワームは、4月1日に次のディレクトリにあるすべてのファイルを削除します。

 C:Windows C:WindowsSystem32 C:WindowsSystem C:Windowsinf C:プログラムFilesKazaa 

そのファイルを削除します。

 C:AutoExec.bat

メッセージを表示します。

業界…ピング?ポン!…

2月16日、このワームは赤い色の画像を表示し、 "ANVX by industry"というテキストが表示されます。

4月2日にワームはメッセージを表示します:

ああオオカミ! …業界から2番目のリリース…


オリジナルへのリンク