本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Fizzer

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

Fizzerは、電子メールメッセージとKaZaa共有ディレクトリを介して広がるインターネットワームです。また、 "バックドア"リモートアクセス機能も含まれています。

インストール

ワームが起動されると、Windowsディレクトリに次のファイルが作成されます。

iservc.exe(ワームのコピー)initbak.dat(ワームのコピー)ProgOp.exe(ワームのコンポーネント)iservc.dll(ワームによって使用されるキーロガーライブラリ)iservc.klg(ログされたキーストロークデータを含む)

ワームはまた、Windowsの起動時に自動的に起動するレジストリキーを書き込みます。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun SystemInit =(Windowsディレクトリパス)iservc.exe

Windows NT / 2000 / XPでは、ワームはシステムサービスを作成できますが、この機能は作成者によって無効になっています。

また、 ".TXT"拡張子を持つファイルのデフォルトハンドラとして登録されるため、そのようなファイルが開かれたときにワームが実行されます。

レプリケーション:KaZaa

このワームはKaZaaのダウンロードディレクトリにランダムなファイル名で自分自身をコピーします。

レプリケーション:電子メール

ワームは独自のSMTPエンジンを使用してそのコピーを送信します。宛先電子メールアドレスは、OutlookおよびWindowsアドレス帳からランダムに生成または抽出されます。

感染したメッセージには、さまざまな選択されたサブジェクト、本文、および添付ファイル名があります。それらは、いくつかの大きな文字列リストから生成されます。例えば:

件名:Re:;(添付ファイル:desktop.exe本文:誰にもこれを表示してはいけません…件名:Re:この楽しいかもしれないと思います…添付ファイル:Logan6.exe本文:あなたの意見を教えてください件名:Fwd:なぜ?アタッチメント:Taylor83.com本文:今日は死ぬのが良い日です…

バックドアルーチン:IRC

ワームは、攻撃者からのリモートアクセスコマンドを受信するために接続しようとするIRCチャネルのリストを含んでいます。

バックドアルーチン:その他

ワームは、HTTPとtelnetのようなサーバを起動し、それらを事前設定されたポートにバインドして、コンピュータへのリモートアクセスを提供します。

その他

ワームは、すべてのキーストロークをキャプチャし、Windowsディレクトリの "iservc.klg"というファイルに書き込みます。また、geocitiesのユーザーページから更新されたバージョンをダウンロードしてインストールしようとします。ワームは、名前に以下の文字列を含むプロセスを終了しようとします。

ANTIV AVP F-PROT NAV NMAINスキャンタスキルウイルスVSHW VSS

レジストリキー名、IRC、SMTPサーバ名、ポート番号、アクションシーケンスなどのほとんどのオプションは、暗号化され、ワー​​ムのEXEファイルのリソースに保存されている特別なデータファイルにあらかじめ設定されています。


オリジナルへのリンク