Email-Worm.Win32.Fintas

技術的な詳細

これは、感染ファイルに添付されたインターネット経由で広がるウイルスワームです。ワーム自体は約36KbのWindows PE EXEファイルで、Visual Basic Sc​​riptで書かれています。

ワームは、添付ファイルをユーザーがクリックしたときにのみ、感染した電子メールからアクティブになります。その後、ワームはシステムに自身をインストールし、拡散ルーチンとペイロードを実行します。

インストール

インストール中、ワームは自身をコピーします：

Windowsディレクトリ、Windowsシステムディレクトリ、C：ドライブルート–Windows TEMPディレクトリの.EXE名 – ワームのバージョンに依存する名前：

FF8.EXE
FunnyFlash.EXE

C： `.EXEファイルは、システムレジストリの自動実行キーに登録されます。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 723 = c： `.exe

WindowsのSYSTEM.INIファイルでは、[シェル]自動実行コマンドの[boot]セクションにあります。

広がる

ワームは、感染したメッセージを送信するために、MS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

件名、本文、および添付ファイル名は、既知のワームのバージョンとは異なります。

件名/本文/添付：

Microsoft Shockwave Flashムービー
「Family.exe」をチェックすると、Microsoftの家族のShockwave Flashムービーが表示される
FamilyMovie.exe

CoolGame％UserName％から
ファイナルファンタジーVIIIについてのクールなゲーム:)
FF8.EXE

FunnyFlashMovie％UserName％から
フラッシュムービー、それをチェック！:)
FunnyFlash.EXE

％UserName％は影響を受けるマシンの名前です。

Fintas.a

最初の既知のワームバージョンは、電子メールを広げた後、REGEDIT.EXE、SYSTEM.INI、WIN.INI、COMMANDEBDio.sysのファイルを次に削除します。C：IO.SYS、C： NETWORK.LOG。その後、ワームのコピーをJ：ネットワークドライブにコピーします（存在する場合）。

その後、ワームは "c：passwd.vbs"と "c：leo.vbs"という2つのVBSファイルを作成して生成し、次のメッセージを表示します。

LEO.VBSファイルは、.html .htm .asp .php .dll .com .txt .doc .xls .exeのファイルを検索し、次のテキストで上書きします。

こんにちは！私はレオです

PASSWD.VBSファイルは.PWLファイル（パスワード）を検索し、 "mypasswd"件名の "leotam888@china.com"電子メールに送信します。

ペイロード – 他のバージョン

ワームは、23日にペイロードルーチン（Win9xシステムでのみ有効）を実行します。 C：MSDOS.SYSファイルに、Windowsの起動プロセスの一時停止とトレースを無効にし、C：AUTOEXEC.BATファイルを上書きして、すべてのドライブをC：からZ：にフォーマットする命令を書き込みます次のマシンの再起動。

次に、ワームはメッセージを表示します。