Email-Worm.Win32.Galil

技術的な詳細

これは、感染した電子メールに添付されているインターネットを介して広がるワームのウイルスです。ワームはいくつかのコンポーネントで構成されています。それらはすべてVisual Basicで書かれたWindows PE EXEファイルです。

 メインファイル： "iLLeGaL.exe"、サイズ約81K
 拡散コンポーネント： "Mplayer.exe"、約14K（UPX圧縮、解凍 -  37K）
 SMTPコントロール： "SMTP.ocx"、約26K（UPXで圧縮、解凍 -  90K）

インストール

メインワームファイルが実行されると、自身とそのコンポーネントがシステムにインストールされます。ワームをインストールすると、そのメインファイルがWindowsシステムディレクトリに "iLLegGaL.exe"という名前でコピーされます。他のワームコンポーネントは同じディレクトリにインストールされます。 「Mplayer.exe」コンポーネントは、システムレジストリの自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
  iLLeGaL =％SystemDir％Mplayer.exe

このワームは、偽のFlashアニメーションとメッセージを表示します。

 ごめんなさい ！
  Looooooooool、私はthinkin ovを過ごした時間を過ごす

広がる

ワームは、MS Outlookのアドレス帳から被害者の電子メールを読み取り、.HTMおよび.HTMLファイルの電子メールアドレスを検索します。ワームは、感染したメッセージを送信するために、SMTPサーバーへの直接接続を使用します。

感染したメッセージの内容は次のとおりです。

 件名：Fwd：狂った違法なセックス！
 本文：C：ドライブ上のファイルからランダムに選択されます
 アタッチ： "iLLeGal.exe"または "illegalSex.zip"

ワームは、添付ファイルをクリックした場合にのみ感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

ペイロード

ワームは、システムレジストリに新しいキー（カウンタ）を作成します。

  HKLMiLLeGal

このカウンタは、各ワームの開始時に増加しています。カウンタが「5」に達すると、ワームはD：E：F：G：ドライブ上のすべてのファイルを削除し、メッセージを表示します。

  ザッカ
   いいえ平和戦争がなければ、私は戦争が嫌いですが、私はそれを愛するように強制されました、隠された力はどこにur