Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

Calposaは、インターネットを介して感染した電子メールへの添付ファイルとして、またKazaaファイル共有ネットワークを介して広がるワームウイルスです。ワーム自体は約57KBのWindows PE EXEファイルで、Visual Basicで記述されています。

感染した電子メールメッセージには、次の属性があります。

件名：アンチウイルスプログラムがあなたのソフトウェアを壊しています！

体：

なぜあなたは迷惑メールを取得するのか知りたいですか？まあAVがあなたのプログラムを壊しており、あなたの個人情報をWeb Companyに売っているという証拠です！そんなに多くのウイルスがあると思うのはなぜですか？よくそれらの会社のそれらを広げて、それらを削除する製品をそこに販売する！それを今すぐチェックしてください…（psのattatched）

添付：ActiveX.exe、Telnet.exe、またはMSWord.exe

ワームは、添付ファイルをクリックした場合にのみ感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール
ワームのインストール中に、以下の名前で自身をシステムにコピーします。

C：WindowsActiveX.exe
C：WindowsSCR.exe
C：WindowsExplorer.exe
C：WindowsTelnet.exe
C：WindowsMSWord.exe
C：WindowsFUCK_AVs.exe
C：Windowsregedit.exe
C：WindowsMixer.exe
C：WINDOWSSystemExplorer.exe

ワームは、これらのファイルのいずれも、システムレジストリの自動実行キー、または他の "自動実行"キーまたはコマンドのいずれにも登録しません。

広がり：電子メール
感染したメッセージを送信するために、ワームはMS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

普及：カザ
ワームは自身を "C：Program FilesKaZaaMy Shared Folder"ディレクトリに次の名前でコピーします。

norton_crack.exe
UT3_full_crack.exe
Windows_Hack.exe
Sims_Patch.exe

このディレクトリがKazaaファイル共有ディレクトリの場合、このワームはKazaaネットワーク上に広がります。

ペイロード
ワームはメッセージを表示します：

ああオオカミ！
… Industry @ ANVXgroupによるCalposa …

このワームは、データの後に "c：WindowsSystem.ini"ファイルに書き込みます。

[約]
著者=インダストリー
VXgroup = ANVXgroup（Auxnet）
Virus = ANVX（WIN32.calposa@mm）
叫ぶ= Indovirus、mANiAC89、Retro、Iwing、そして他のすべて。
ファック=すべてのAVのファック、私たちはあなたの仕事であなたを保つので、少し余裕を与える！
残りの人に= ANVXだけ！

ワームは、4月1日に次のディレクトリにあるすべてのファイルを削除します。

 C：Windows C：WindowsSystem32 C：WindowsSystem C：Windowsinf C：プログラムFilesKazaa

そのファイルを削除します。

 C：AutoExec.bat

メッセージを表示します。

業界…ピング？ポン！…

2月16日、このワームは赤い色の画像を表示し、 "ANVX by industry"というテキストが表示されます。

4月2日にワームはメッセージを表示します：

ああオオカミ！ …業界から2番目のリリース…

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細 Calposaは、インターネットを介して感染した電子メールへの添付ファイルとして、またKazaaファイル共有ネットワークを介して広がるワームウイルスです。ワーム自体は約57KBのWindows PE EXEファイルで、Visual Basicで記述されています。感染した電子メールメッセージには、次の属性があります。件名：アンチウイルスプログラムがあなたのソフトウェアを壊しています！体：なぜあなたは迷惑メールを取得するのか知りたいですか？まあAVがあなたのプログラムを壊しており、あなたの個人情報をWeb Companyに売っているという証拠です！そんなに多くのウイルスがあると思うのはなぜですか？よくそれらの会社のそれらを広げて、それらを削除する製品をそこに販売する！それを今すぐチェックしてください…（psのattatched）添付：ActiveX.exe、Telnet.exe、またはMSWord.exe ワームは、添付ファイルをクリックした場合にのみ感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。インストールワームのインストール中に、以下の名前で自身をシステムにコピーします。 C：WindowsActiveX.exe C：WindowsSCR.exe C：WindowsExplorer.exe C：WindowsTelnet.exe C：WindowsMSWord.exe C：WindowsFUCK_AVs.exe C：Windowsregedit.exe C：WindowsMixer.exe C：WINDOWSSystemExplorer.exe ワームは、これらのファイルのいずれも、システムレジストリの自動実行キー、または他の "自動実行"キーまたはコマンドのいずれにも登録しません。広がり：電子メール感染したメッセージを送信するために、ワームはMS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。普及：カザワームは自身を "C：Program FilesKaZaaMy Shared Folder"ディレクトリに次の名前でコピーします。 norton_crack.exe UT3_full_crack.exe Windows_Hack.exe Sims_Patch.exe このディレクトリがKazaaファイル共有ディレクトリの場合、このワームはKazaaネットワーク上に広がります。ペイロードワームはメッセージを表示します：ああオオカミ！ … Industry @ ANVXgroupによるCalposa … このワームは、データの後に "c：WindowsSystem.ini"ファイルに書き込みます。 [約] 著者=インダストリー VXgroup = ANVXgroup（Auxnet） Virus = ANVX（WIN32.calposa@mm）叫ぶ= Indovirus、mANiAC89、Retro、Iwing、そして他のすべて。ファック=すべてのAVのファック、私たちはあなたの仕事であなたを保つので、少し余裕を与える！残りの人に= ANVXだけ！ワームは、4月1日に次のディレクトリにあるすべてのファイルを削除します。 C：Windows C：WindowsSystem32 C：WindowsSystem C：Windowsinf C：プログラムFilesKazaa そのファイルを削除します。 C：AutoExec.bat メッセージを表示します。業界…ピング？ポン！… 2月16日、このワームは赤い色の画像を表示し、 *"ANVX by industry"*というテキストが表示されます。 4月2日にワームはメッセージを表示します：ああオオカミ！ …業界から2番目のリリース…
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Calposa

技術的な詳細