Email-Worm.Win32.FunnyPics

技術的な詳細

このウイルスは、感染したメッセージへの添付ファイルとしてインターネット経由で広がります。ワーム自体は、サイズが14136バイトのWindows PE EXEファイルです。

インストール

ワームは、自身をWindowsのルートディレクトリにbrsh32.exeとしてコピーします。

 ％WinDir％brsh32.exe 

次に、このファイルをWindowsシステムレジストリに新しいサービスとして登録します。これにより、犠牲PCでWindowsが再起動されるたびにワームが起動されます。

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
 "brsh32Service" = "％WinDir％brsh32.exe -q" 

ワームは：

1. 電子メールで広がる
2. 被害者マシンのリモート管理をバックドア経由で可能にする

ワームは、被害者マシンから収集した電子メールアドレスに自身を送信します。

感染したメッセージを送信する場合、ワームは受信者のSMTPサーバーに直接接続します。

メールの件名

メッセージの件名は以下のリストからランダムに選択されます：

• あなたは楽しむ準備ができていますか？
• あなたは笑いたいですか？
• 面白い写真を無料でダウンロード！
• スクリーンセーバーを無料でダウンロード！
• 無料の写真とスクリーンセーバー
• 無料スクリーンセーバー
• 面白い写真は再びオンラインです！
• ファニータイプスペシャルオファー
• ハフアウト！
• ユーモアオンライン
• 楽しみの塊！
• Dr.Funを聞く
• 写真とスクリーンセーバー
• 準備ができている？安定しました？笑い！
• あなたの画面を保存してください！
• 何が見たいですか？

メール内容

メッセージ本文は変更されず、次のようになります。

アタッチメント

ワームは、％windir％brsh32.exeという添付ファイルに自身のコピーを送信します。しかし、このファイルはwww.funnypics.comの画像として表示されています。

添付ファイルの名前は、以下のリストからランダムに選択されます。

• billBates.scr
• bzzz.scr
• funnyPic.scr
• intelAside.scr
• kennyIsAlive.scr
• mac0s.scr
• matrix-SP.scr
• mrBrown.scr
• nastyPokemon.scr
• paradise.scr
• phantomMenaze.scr
• southPark.scr
• SouthParkOuttaSpace.scr
• starWarz.scr
• waaazUp.scr
• x-filez.scr

ペイロード

ワームは8000から8255の間のTCPポートを開き（無作為に選択されます）、コマンドを待ち受けます。

これにより、リモートの悪意のあるユーザーが被害者マシンに完全にアクセスできるようになり、被害者マシンから情報を取得し、ファイルをダウンロード、起動、および削除することが可能になります。

削除手順

1. 次のレジストリキーを削除します。
   [HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices]
   "brsh32Service" = "％WinDir％brsh32.exe -q"
2. タスクマネージャを使用して、brsh32.exeというプロセスを停止します。
3. 次のファイルを削除します。％WinDir％brsh32.exe。
4. コンピュータをフルスキャンします（ Kaspersky Anti-Virusの試用版をダウンロードしてください）。