本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Ciosor

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、インターネットを介して感染した電子メールに添付されているワームのウイルスです。ワーム自体は、Visual Basic(VB5)で書かれた約107Kbの長さのWindows PE EXEファイルです。

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、普及するルーチンとペイロードを実行します。

感染したメッセージは異なるテキストと添付ファイル名を持ち、ワームによってランダムに選択され、次の亜種から広がります。

対象は:
Cuidado con los virus !!! Tienes un virus !!!私は赤いインターネットと一緒にいます

本文は次のとおりです:
%virusname%は "Nimda"、 "Magistr"または "Sircam"です。

Saludos
私は、エルレガードエルウイルス%ウイルス名%、デトゥーディナドール、ああラセグンダベズ
Norton Antivirus、ウイルス、スパイウェア、トロイの木馬、スパイウェア、
�!

アンサルード
ポールの恩恵、改正suden、または私はenviadoエルウイルス%virusname%
Norton Antivirusでウイルスを駆除する

アンサルード
ホラ、perdona、que te moleste、pero meはウイルス対策、el%virusname%
テンバブロ・バンパイア・パンダ、テン・マスカード・ドゥ・パンダ・ヴェズ!

ホア
インターネットを利用していますか?ムエベ�l
Rat�npor toda la pantalla。いいえse quita ni pulsando control + alt + supr、
Jeje、最終的に乾草再投入。 <

ファイル名の添付は次のとおりです。

MueveRaton.exe
AntiMagistr.exe
AntiNimda.exe
AntiSircam.exe

ワームは、感染したメッセージを送信するために、* .EML、* .NWS、* .DBXファイルをスキャンし、そこから犠牲Eメールアドレスを取得し、SMTPサーバsmtp.terra.esに接続して感染メッセージを送信します。

インストール

ワームをインストールすると、WindowsシステムディレクトリにREGWIZ.EXEという名前で自身をコピーし(元のWindows REGWIZ.EXEファイルをそこに上書きします)、このファイルをシステムレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun regwiz =%systemdir%regwiz.EXE

ワームは、このファイルのReadOnly、Hidden、およびSystem属性も設定します。

その後、ワームは偽のエラーメッセージを表示します。

Win32v�lidaについて
[ OK ]

ペイロード

このワームはC:MSDOS.SYSファイルに次のコマンドを追加します。

BootKeys = 0

これの効果は、Win9xシステムでのブートプロセスを中断またはトレースできないことです。

ワームは隠しアプリケーション(システムサービス)としてWindowsメモリに残り、ペイロードルーチンを実行します。マウスcusrorは画面上でランダムに移動され、マウスは使用できなくなります。

ワームは、レジストリキーの内部カウンタも実行します。

HKCUSoftwareVBとVBAプログラムSettingsregwizconfig
ejec =%number%

毎回このバレーを増やします。このカウンタが75に達すると、ワームはレジストリキーを次のように入力します。

HKCUControl PanelDesktop
ScreenSaveActive = 0

Windowsを終了してマシンを再起動します。


オリジナルへのリンク
お住まいの地域に広がる脅威の統計をご覧ください