本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.FunnyPics

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

このウイルスは、感染したメッセージへの添付ファイルとしてインターネット経由で広がります。ワーム自体は、サイズが14136バイトのWindows PE EXEファイルです。

インストール

ワームは、自身をWindowsのルートディレクトリにbrsh32.exeとしてコピーします。

 %WinDir%brsh32.exe 

次に、このファイルをWindowsシステムレジストリに新しいサービスとして登録します。これにより、犠牲PCでWindowsが再起動されるたびにワームが起動されます。

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
 "brsh32Service" = "%WinDir%brsh32.exe -q" 

ワームは:

  1. 電子メールで広がる
  2. 被害者マシンのリモート管理をバックドア経由で可能にする

ワームは、被害者マシンから収集した電子メールアドレスに自身を送信します。

感染したメッセージを送信する場合、ワームは受信者のSMTPサーバーに直接接続します。

メールの件名

メッセージの件名は以下のリストからランダムに選択されます:

  • あなたは楽しむ準備ができていますか?
  • あなたは笑いたいですか?
  • 面白い写真を無料でダウンロード!
  • スクリーンセーバーを無料でダウンロード!
  • 無料の写真とスクリーンセーバー
  • 無料スクリーンセーバー
  • 面白い写真は再びオンラインです!
  • ファニータイプスペシャルオファー
  • ハフアウト!
  • ユーモアオンライン
  • 楽しみの塊!
  • Dr.Funを聞く
  • 写真とスクリーンセーバー
  • 準備ができている?安定しました?笑い!
  • あなたの画面を保存してください!
  • 何が見たいですか?

メール内容

メッセージ本文は変更されず、次のようになります。

Funny Pics Inc.は、より多くの無料stuffs.Visitと面白い写真やこれのような新しいスクリーンセーバーの多くで私たちの新しいウェブサイトを立ち往生! www.funnypics.com

アタッチメント

ワームは、%windir%brsh32.exeという添付ファイルに自身のコピーを送信します。しかし、このファイルはwww.funnypics.comの画像として表示されています。

添付ファイルの名前は、以下のリストからランダムに選択されます。

  • billBates.scr
  • bzzz.scr
  • funnyPic.scr
  • intelAside.scr
  • kennyIsAlive.scr
  • mac0s.scr
  • matrix-SP.scr
  • mrBrown.scr
  • nastyPokemon.scr
  • paradise.scr
  • phantomMenaze.scr
  • southPark.scr
  • SouthParkOuttaSpace.scr
  • starWarz.scr
  • waaazUp.scr
  • x-filez.scr

ペイロード

ワームは8000から8255の間のTCPポートを開き(無作為に選択されます)、コマンドを待ち受けます。

これにより、リモートの悪意のあるユーザーが被害者マシンに完全にアクセスできるようになり、被害者マシンから情報を取得し、ファイルをダウンロード、起動、および削除することが可能になります。

削除手順

  1. 次のレジストリキーを削除します。
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
    "brsh32Service" = "%WinDir%brsh32.exe -q"
  2. タスクマネージャを使用して、brsh32.exeというプロセスを停止します。
  3. 次のファイルを削除します。%WinDir%brsh32.exe。
  4. コンピュータをフルスキャンします( Kaspersky Anti-Virusの試用版をダウンロードしてください)。

オリジナルへのリンク