親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、感染した電子メールに添付されたインターネット経由で拡散し、インターネットページャICQ経由で送信するウイルスワームです。トロイの木馬スクリプトを利用してIRCチャネルを攻撃し、アンチウイルスプログラムから自身を保護します。
ワーム自体は約38 KBの長さのWindows PE EXEファイルで、Visual Basicで記述されています。これはプログラムUPXによってパックされています。開梱後、サイズは148KBです。
感染したメッセージには以下が含まれます:
ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールから起動します。その後、システムに自身をインストールし、その普及ルーチンとペイロードを実行します。次のテキストを含むアニメーションウィンドウが表示されます。
次に、次のメッセージダイアログを表示します。
インストール
インストール中、ワームはWindowsシステムディレクトリに自分自身をGONE.SCRという名前でコピーし、このファイルをシステムレジストリの自動実行キーに登録します。
C:WINDOWSSYSTEMGONE.SCR = C:
この後、ワームはメインウィンドウを隠し、広がり続けます。
電子メールによる広がり
感染したメッセージを送信するために、ワームはMS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。
{Goner3.bmp}
ICQによる普及
ワームはICQクライアントを介して拡散します。ワームはC:PROGRAM FILESICQディレクトリからWindowsシステムディレクトリにコピーするICQMAPI.DLLライブラリを使用します。それはクライアントプログラムにリターンし、リストと対話要求からダイアログウィンドウを探します。ウィンドウリストは次のとおりです。
オンラインファイルを送信するワームは定期的にウィンドウを探して閉じます。ウィンドウのタイトルは次のとおりです。
オンラインファイルリクエストを送信する
ユーザーがあなたのリクエストを拒否しました
ファイルリクエストを送信できません
オンラインファイルを送信する[ユーザーはN / Aモードである]
オンラインファイルを送信する[ユーザーがいない]
オンラインファイルを送信する[ユーザーは占有されています]
オンラインファイルを送信する[ユーザーはDNDモードになっています]
ユーザーがあなたのリクエストを拒否しました
ファイルリクエストを送信できません
オンラインファイル要求を送信する[ユーザーはN / Aモードである] オンラインファイル要求を送信する[ユーザーがいない]
オンラインファイル要求を送信する[ユーザーは占有されています]
オンラインファイル要求を送信する[ユーザーはDNDモードになっています]
IRCチャネルを攻撃する
ワームはローカルディスクディレクトリをスキャンしてMIRC.INIファイルを作成し、このディレクトリに新しいファイルREMOTE32.INIを作成し、ファイルMIRC.INIに追加します。このスクリプトは定期的にランダムな名前のユーザをサーバtwisted.ma.us.dal.net上のIRCチャネル#pentagonexに参加させます。
アンチウィルスプログラムからの保護
ワームは、コンピュータシステムにインストールしている間、実行中のプロセスをスキャンし、次のリストから名前を確認します。
FINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
C:サファイア
ワームはこのプロセスをメモリ内で終了し、ディスクからファイルを消去します。次に、サブディレクトリにあるファイルを使用して、プロセスディレクトリ内のすべてのファイルを消去します。ワームは、残りのファイルを探し、コンピュータの再起動後に削除を設定します。 WININIT.INIファイルに削除コマンドを追加します。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com