本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Cholera

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これはインターネットとローカルネットワークを介して広がるウイルスワームです。 "OK …"という件名を持つ電子メールメッセージに添付された "SETUP.EXE"ファイルとして表示され、メッセージ本文には "笑顔"だけが含まれています。


🙂

この添付ファイル自体は約40KBのMicrosoft C ++実行ファイルです。ファイルのコードの大部分はC ++ランタイムライブラリとデータで占められており、そのコードの約7KBは「純粋な」ワームコードです。

このワームは、コード中のテキスト文字列のためにその名前がついています。


CHOLERA – GriYo / 29Aによってバイオコードされた細菌

この文字列は、ワームのデータの他にも、ワームの本体で暗号化されています。

システムへのインストール

ワームが初めて実行されると(感染した添付ファイルから実行される)、モジュール名が取得され、RPCSRV.EXEという名前のWindowsディレクトリにインストールされます。ワームは、次の再起動時にWindowsがこのファイルを実行するようにするために、Windowsディレクトリ(Win9x)のWIN.INIファイルに追加の "実行="命令を書き込むか、WinNTのシステムレジストリに対応するキーを変更します。 。

ワームは、Windowsディレクトリを見つけるために、対応するWindows機能を呼び出すのではなく、利用可能なすべてのローカルドライブをスキャンし、WINDOWS、WIN95、WIN98、WIN、WINNTのサブディレクトリ名を探し、ディレクトリ内のWIN.INIファイルを探します。このようなファイルが見つかった場合、ワームは自身をディレクトリにインストールします。

その結果、ワームは同じコンピュータ上に複数のコピーを作成し、そこにあるすべてのWindowsインストールを感染させる可能性があります。マルチブートローダーがインストールされていて、いくつかの異なるWindowsバージョンがインストールされている場合、このトリックではWindowsのコピースタートアップ時にウイルスを有効にすることができます。

ワームは、その活動を隠すために、偽のメッセージを表示します。

セットアップファイルを開くことができません:有効なアーカイブではありません。このファイルをダウンロードした場合は、ファイルをもう一度ダウンロードしてみてください。 [ OK ]

さらに広げる

次回のWindows起動時には、WIN.INIファイルのRunコマンドによってワームコピーが有効になります。それは、ユーザーがログオフするたびにワームがアクティブのままになることを可能にする隠されたアプリケーション(目に見えないサービス)としてWindowsメモリに自身を登録します。このワームは、インストールに加えて2つのルーチンを実行します。これらの新しいルーチンの最初のものは、ワームをローカルネットワークに広め、2番目のワームは感染した電子メールメッセージを送信します。インストールルーチンも有効で、コンピュータに新しいWindowsコピーが存在する場合、このワームは新しいWindowsコピーを感染させることができます。すべてのルーチンはメインプロセススレッドとして実行されるため、並列処理が行われます。

新しいルーチンの1つ目は、ワームのコピーをネットワーク経由で拡散させることです。これは、すべてのネットワークドライブを列挙し、Windowsのディレクトリをスキャンし、そこにワームのRPCSRV.EXEファイルをコピーし、同じリモートディレクトリのWIN.INIファイルに登録します。その結果、次の再起動時にリモートコンピュータ上のワームがアクティブになり、さらに広がります。

2番目のルーチンは感染したメッセージをインターネットアドレスに送信します。ワームは、そのコピーを送信するためにSMTPプロトコルを使用し、直接接続によって自身を送信します。その結果、ワームの拡散は、システムで使用される電子メールアプリケーションの種類に依存しません。

6秒に1回、このルーチンはすべてのアクティブなプログラムウィンドウを列挙し、インターネットアプリケーションを探します:Outlook、Cuteftp、Internet Explo、Telnet、Mirc。これらのアプリケーションのいずれかがアクティブな場合は、コンピュータがインターネットに接続されていることを意味します(これは、ワームが直接SMTP接続するため必要です)。

ワームは、システムレジストリキーからSMTPサーバーアドレスとユーザーの電子メールアドレスを取得し、新しいメッセージを作成し、そのコピーをSETUP.EXE名で添付して送信します。

ワームがそのコピーを送信する場所へのインターネットアドレスは、Windowsディレクトリおよびサブディレクトリ内のディスクファイルから収集されます。ワームはすべてのファイルをスキャンし、拡張子が.HTM、.TXT、.EML、.DBX、.MBX、.NCH、.IDXのファイルを検索し、これらのファイルをスキャンし、そこから電子メールアドレスのような文字列を取得します。各送信時に、ワームは自分自身を10個以下のアドレスに送信します。


オリジナルへのリンク