親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、インターネットワームで、電子メールを介して広がり、EXEファイルとして添付されています。ワーム自体は、VisualBasicで書かれた長さ約12KbのWin32実行可能ファイルです。ワームコードはUPX Win32 EXEファイル圧縮ユーティリティで圧縮されており、解凍すると約26Kbになります。
ワームが起動すると(ユーザーが添付されたEXEファイルをクリックすると)、MSSERV.EXE名でWindowsディレクトリに自身をコピーし、そのファイルをWindowsレジストリの自動実行キーに登録します。
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
これらの "Run ="キーはすべて、Windowsの起動時にワームのコピーを実行する文字列値を持っています。
msservice =%WinDir%msserv.exe
%WinDir%はWindowsのメインディレクトリです。
広がる
ワームは、Windowsのメモリに隠れたアプリケーション(サービス)として保存され、MS Outlookに接続し、MS Outlook "NewMail"および "ItemSend"イベントハンドラとして登録されます(ワームはMS Outlookイベントに自身を添付します)。
"NewMail"(新しいメールが到着しました)では、このワームは、別の感染マシンからのメッセージであるかのように見えて、それを削除します。ワームはメッセージを開き、EXE添付ファイルを探し、EXE添付ファイルの長さがワームのEXEファイルと同じ場合はそのメッセージを削除します。
"ItemSend"(メッセージが送信されている)では、ワームはすでに添付されているファイルを探し、最初のファイルを取得し、自身のコピーで置き換え、添付ファイルの名前を.EXEに変更して送信します。メッセージに添付ファイルがない場合、ワームは8バイトのランダムな名前と.EXEファイルを添付します。
13日の13:00から14:00に、ワームはメッセージ本文の先頭にテキストを追加します。
[I-Worm.Hydra] ... [mions]のgl_st0rmによって
保護
このワームは、自身を隠し、そのファイルと感染したレジストリの "実行="キーを削除しないようにするいくつかのアクションを実行します。ワームは、WindowsのシステムディレクトリにあるMSCONFIG.EXEファイルを削除し、アクティブなアプリケーションを探して駆除します(これらのプロセスは終了します)。
「AVPモニター」
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"ノーマンウイルスコントロール"
"navpw32"
"Norton AntiVirus"
"イオモン98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
「Trend PC-cillin」
「ファイルモニター」
"レジストリモニタ"
"レジストリエディタ"
"タスクマネージャー"
その結果、ワームはいくつかの種類のアンチウイルス保護を無効にするだけでなく、起動時にレジストリエディタをすぐに終了させます。
また、Kaspersky Anti-Virus(旧AVP)のウイルス対策データベースを駆除します。
SETI分散ネットワークのメンバー
このワームは、感染コンピュータ上のSETI(外生知能検索)ソフトウェアをインストールして起動します(SETIの詳細については、http://setiathome.berkeley.eduを参照してください)。
SETIソフトウェアは、以下のFTPサイトからMSSETI.EXE名でWindowsディレクトリにダウンロードされます。
ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ワームは、Windowsディレクトリに次のファイルも作成します。
SETI固有の情報を持つUSER_INFO.SAHおよびVERSION.SAH
SETIプログラムを実行するMSSETI.PIF、RUN_MSSETI.VBS、MSSETI.BAT
レジストリの自動実行キーにRUN_MSSETI.VBSファイルを登録します。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
msseti = WScript.exe%WinDir%run_msseti.vbs "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
msseti = WScript.exe%WinDir%run_msseti.vbs "
USER_INFO.SAHファイルには、SETIユーザーに関するユーザー固有の情報が含まれています。このIDには、以下のIDが書き込まれます。
id = 2199938
キー= 1603033966
email_addr=gl_storm@seznam.cz
名前= GL_STORM
国=チェコ共和国
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com