Email-Worm.Win32.Cholera

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」（例：Backdoors）または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか（すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか）電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング（例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ）、ネットワーク構成エラー（完全にアクセス可能なディスクへのコピーなど）を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク（例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL）として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた（起動された）ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです：ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています：MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル：ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います（一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します）。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム（Windows XP、Windows 7など）上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これはインターネットとローカルネットワークを介して広がるウイルスワームです。 "OK ..."という件名を持つ電子メールメッセージに添付された "SETUP.EXE"ファイルとして表示され、メッセージ本文には "笑顔"だけが含まれています。

:-)

この添付ファイル自体は約40KBのMicrosoft C ++実行ファイルです。ファイルのコードの大部分はC ++ランタイムライブラリとデータで占められており、そのコードの約7KBは「純粋な」ワームコードです。

このワームは、コード中のテキスト文字列のためにその名前がついています。

CHOLERA  -  GriYo / 29Aによってバイオコードされた細菌

この文字列は、ワームのデータの他にも、ワームの本体で暗号化されています。

システムへのインストール

ワームが初めて実行されると（感染した添付ファイルから実行される）、モジュール名が取得され、RPCSRV.EXEという名前のWindowsディレクトリにインストールされます。ワームは、次の再起動時にWindowsがこのファイルを実行するようにするために、Windowsディレクトリ（Win9x）のWIN.INIファイルに追加の "実行="命令を書き込むか、WinNTのシステムレジストリに対応するキーを変更します。 。

ワームは、Windowsディレクトリを見つけるために、対応するWindows機能を呼び出すのではなく、利用可能なすべてのローカルドライブをスキャンし、WINDOWS、WIN95、WIN98、WIN、WINNTのサブディレクトリ名を探し、ディレクトリ内のWIN.INIファイルを探します。このようなファイルが見つかった場合、ワームは自身をディレクトリにインストールします。

その結果、ワームは同じコンピュータ上に複数のコピーを作成し、そこにあるすべてのWindowsインストールを感染させる可能性があります。マルチブートローダーがインストールされていて、いくつかの異なるWindowsバージョンがインストールされている場合、このトリックではWindowsのコピースタートアップ時にウイルスを有効にすることができます。

ワームは、その活動を隠すために、偽のメッセージを表示します。

さらに広げる

次回のWindows起動時には、WIN.INIファイルのRunコマンドによってワームコピーが有効になります。それは、ユーザーがログオフするたびにワームがアクティブのままになることを可能にする隠されたアプリケーション（目に見えないサービス）としてWindowsメモリに自身を登録します。このワームは、インストールに加えて2つのルーチンを実行します。これらの新しいルーチンの最初のものは、ワームをローカルネットワークに広め、2番目のワームは感染した電子メールメッセージを送信します。インストールルーチンも有効で、コンピュータに新しいWindowsコピーが存在する場合、このワームは新しいWindowsコピーを感染させることができます。すべてのルーチンはメインプロセススレッドとして実行されるため、並列処理が行われます。

新しいルーチンの1つ目は、ワームのコピーをネットワーク経由で拡散させることです。これは、すべてのネットワークドライブを列挙し、Windowsのディレクトリをスキャンし、そこにワームのRPCSRV.EXEファイルをコピーし、同じリモートディレクトリのWIN.INIファイルに登録します。その結果、次の再起動時にリモートコンピュータ上のワームがアクティブになり、さらに広がります。

2番目のルーチンは感染したメッセージをインターネットアドレスに送信します。ワームは、そのコピーを送信するためにSMTPプロトコルを使用し、直接接続によって自身を送信します。その結果、ワームの拡散は、システムで使用される電子メールアプリケーションの種類に依存しません。

6秒に1回、このルーチンはすべてのアクティブなプログラムウィンドウを列挙し、インターネットアプリケーションを探します：Outlook、Cuteftp、Internet Explo、Telnet、Mirc。これらのアプリケーションのいずれかがアクティブな場合は、コンピュータがインターネットに接続されていることを意味します（これは、ワームが直接SMTP接続するため必要です）。

ワームは、システムレジストリキーからSMTPサーバーアドレスとユーザーの電子メールアドレスを取得し、新しいメッセージを作成し、そのコピーをSETUP.EXE名で添付して送信します。

ワームがそのコピーを送信する場所へのインターネットアドレスは、Windowsディレクトリおよびサブディレクトリ内のディスクファイルから収集されます。ワームはすべてのファイルをスキャンし、拡張子が.HTM、.TXT、.EML、.DBX、.MBX、.NCH、.IDXのファイルを検索し、これらのファイルをスキャンし、そこから電子メールアドレスのような文字列を取得します。各送信時に、ワームは自分自身を10個以下のアドレスに送信します。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com