Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これはインターネットとローカルネットワークを介して広がるウイルスワームです。 "OK …"という件名を持つ電子メールメッセージに添付された "SETUP.EXE"ファイルとして表示され、メッセージ本文には "笑顔"だけが含まれています。

🙂

この添付ファイル自体は約40KBのMicrosoft C ++実行ファイルです。ファイルのコードの大部分はC ++ランタイムライブラリとデータで占められており、そのコードの約7KBは「純粋な」ワームコードです。

このワームは、コード中のテキスト文字列のためにその名前がついています。

CHOLERA  –  GriYo / 29Aによってバイオコードされた細菌

この文字列は、ワームのデータの他にも、ワームの本体で暗号化されています。

システムへのインストール

ワームが初めて実行されると（感染した添付ファイルから実行される）、モジュール名が取得され、RPCSRV.EXEという名前のWindowsディレクトリにインストールされます。ワームは、次の再起動時にWindowsがこのファイルを実行するようにするために、Windowsディレクトリ（Win9x）のWIN.INIファイルに追加の "実行="命令を書き込むか、WinNTのシステムレジストリに対応するキーを変更します。。

ワームは、Windowsディレクトリを見つけるために、対応するWindows機能を呼び出すのではなく、利用可能なすべてのローカルドライブをスキャンし、WINDOWS、WIN95、WIN98、WIN、WINNTのサブディレクトリ名を探し、ディレクトリ内のWIN.INIファイルを探します。このようなファイルが見つかった場合、ワームは自身をディレクトリにインストールします。

その結果、ワームは同じコンピュータ上に複数のコピーを作成し、そこにあるすべてのWindowsインストールを感染させる可能性があります。マルチブートローダーがインストールされていて、いくつかの異なるWindowsバージョンがインストールされている場合、このトリックではWindowsのコピースタートアップ時にウイルスを有効にすることができます。

ワームは、その活動を隠すために、偽のメッセージを表示します。

セットアップファイルを開くことができません：有効なアーカイブではありません。このファイルをダウンロードした場合は、ファイルをもう一度ダウンロードしてみてください。 [ OK ]

さらに広げる

次回のWindows起動時には、WIN.INIファイルのRunコマンドによってワームコピーが有効になります。それは、ユーザーがログオフするたびにワームがアクティブのままになることを可能にする隠されたアプリケーション（目に見えないサービス）としてWindowsメモリに自身を登録します。このワームは、インストールに加えて2つのルーチンを実行します。これらの新しいルーチンの最初のものは、ワームをローカルネットワークに広め、2番目のワームは感染した電子メールメッセージを送信します。インストールルーチンも有効で、コンピュータに新しいWindowsコピーが存在する場合、このワームは新しいWindowsコピーを感染させることができます。すべてのルーチンはメインプロセススレッドとして実行されるため、並列処理が行われます。

新しいルーチンの1つ目は、ワームのコピーをネットワーク経由で拡散させることです。これは、すべてのネットワークドライブを列挙し、Windowsのディレクトリをスキャンし、そこにワームのRPCSRV.EXEファイルをコピーし、同じリモートディレクトリのWIN.INIファイルに登録します。その結果、次の再起動時にリモートコンピュータ上のワームがアクティブになり、さらに広がります。

2番目のルーチンは感染したメッセージをインターネットアドレスに送信します。ワームは、そのコピーを送信するためにSMTPプロトコルを使用し、直接接続によって自身を送信します。その結果、ワームの拡散は、システムで使用される電子メールアプリケーションの種類に依存しません。

6秒に1回、このルーチンはすべてのアクティブなプログラムウィンドウを列挙し、インターネットアプリケーションを探します：Outlook、Cuteftp、Internet Explo、Telnet、Mirc。これらのアプリケーションのいずれかがアクティブな場合は、コンピュータがインターネットに接続されていることを意味します（これは、ワームが直接SMTP接続するため必要です）。

ワームは、システムレジストリキーからSMTPサーバーアドレスとユーザーの電子メールアドレスを取得し、新しいメッセージを作成し、そのコピーをSETUP.EXE名で添付して送信します。

ワームがそのコピーを送信する場所へのインターネットアドレスは、Windowsディレクトリおよびサブディレクトリ内のディスクファイルから収集されます。ワームはすべてのファイルをスキャンし、拡張子が.HTM、.TXT、.EML、.DBX、.MBX、.NCH、.IDXのファイルを検索し、これらのファイルをスキャンし、そこから電子メールアドレスのような文字列を取得します。各送信時に、ワームは自分自身を10個以下のアドレスに送信します。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これはインターネットとローカルネットワークを介して広がるウイルスワームです。 "OK …"という件名を持つ電子メールメッセージに添付された "SETUP.EXE"ファイルとして表示され、メッセージ本文には "笑顔"だけが含まれています。 🙂 この添付ファイル自体は約40KBのMicrosoft C ++実行ファイルです。ファイルのコードの大部分はC ++ランタイムライブラリとデータで占められており、そのコードの約7KBは「純粋な」ワームコードです。このワームは、コード中のテキスト文字列のためにその名前がついています。 CHOLERA – GriYo / 29Aによってバイオコードされた細菌この文字列は、ワームのデータの他にも、ワームの本体で暗号化されています。システムへのインストールワームが初めて実行されると（感染した添付ファイルから実行される）、モジュール名が取得され、RPCSRV.EXEという名前のWindowsディレクトリにインストールされます。ワームは、次の再起動時にWindowsがこのファイルを実行するようにするために、Windowsディレクトリ（Win9x）のWIN.INIファイルに追加の "実行="命令を書き込むか、WinNTのシステムレジストリに対応するキーを変更します。。ワームは、Windowsディレクトリを見つけるために、対応するWindows機能を呼び出すのではなく、利用可能なすべてのローカルドライブをスキャンし、WINDOWS、WIN95、WIN98、WIN、WINNTのサブディレクトリ名を探し、ディレクトリ内のWIN.INIファイルを探します。このようなファイルが見つかった場合、ワームは自身をディレクトリにインストールします。その結果、ワームは同じコンピュータ上に複数のコピーを作成し、そこにあるすべてのWindowsインストールを感染させる可能性があります。マルチブートローダーがインストールされていて、いくつかの異なるWindowsバージョンがインストールされている場合、このトリックではWindowsのコピースタートアップ時にウイルスを有効にすることができます。ワームは、その活動を隠すために、偽のメッセージを表示します。さらに広げる次回のWindows起動時には、WIN.INIファイルのRunコマンドによってワームコピーが有効になります。それは、ユーザーがログオフするたびにワームがアクティブのままになることを可能にする隠されたアプリケーション（目に見えないサービス）としてWindowsメモリに自身を登録します。このワームは、インストールに加えて2つのルーチンを実行します。これらの新しいルーチンの最初のものは、ワームをローカルネットワークに広め、2番目のワームは感染した電子メールメッセージを送信します。インストールルーチンも有効で、コンピュータに新しいWindowsコピーが存在する場合、このワームは新しいWindowsコピーを感染させることができます。すべてのルーチンはメインプロセススレッドとして実行されるため、並列処理が行われます。新しいルーチンの1つ目は、ワームのコピーをネットワーク経由で拡散させることです。これは、すべてのネットワークドライブを列挙し、Windowsのディレクトリをスキャンし、そこにワームのRPCSRV.EXEファイルをコピーし、同じリモートディレクトリのWIN.INIファイルに登録します。その結果、次の再起動時にリモートコンピュータ上のワームがアクティブになり、さらに広がります。 2番目のルーチンは感染したメッセージをインターネットアドレスに送信します。ワームは、そのコピーを送信するためにSMTPプロトコルを使用し、直接接続によって自身を送信します。その結果、ワームの拡散は、システムで使用される電子メールアプリケーションの種類に依存しません。 6秒に1回、このルーチンはすべてのアクティブなプログラムウィンドウを列挙し、インターネットアプリケーションを探します：Outlook、Cuteftp、Internet Explo、Telnet、Mirc。これらのアプリケーションのいずれかがアクティブな場合は、コンピュータがインターネットに接続されていることを意味します（これは、ワームが直接SMTP接続するため必要です）。ワームは、システムレジストリキーからSMTPサーバーアドレスとユーザーの電子メールアドレスを取得し、新しいメッセージを作成し、そのコピーをSETUP.EXE名で添付して送信します。ワームがそのコピーを送信する場所へのインターネットアドレスは、Windowsディレクトリおよびサブディレクトリ内のディスクファイルから収集されます。ワームはすべてのファイルをスキャンし、拡張子が.HTM、.TXT、.EML、.DBX、.MBX、.NCH、.IDXのファイルを検索し、これらのファイルをスキャンし、そこから電子メールアドレスのような文字列を取得します。各送信時に、ワームは自分自身を10個以下のアドレスに送信します。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Cholera

技術的な詳細

システムへのインストール

さらに広げる