本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Hadra

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、インターネットワームで、電子メールを介して広がり、EXEファイルとして添付されています。ワーム自体は、VisualBasicで書かれた長さ約12KbのWin32実行可能ファイルです。ワームコードはUPX Win32 EXEファイル圧縮ユーティリティで圧縮されており、解凍すると約26Kbになります。

ワームが起動すると(ユーザーが添付されたEXEファイルをクリックすると)、MSSERV.EXE名でWindowsディレクトリに自身をコピーし、そのファイルをWindowsレジストリの自動実行キーに登録します。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

これらの "Run ="キーはすべて、Windowsの起動時にワームのコピーを実行する文字列値を持っています。

msservice =%WinDir%msserv.exe

%WinDir%はWindowsのメインディレクトリです。

広がる

ワームは、Windowsのメモリに隠れたアプリケーション(サービス)として保存され、MS Outlookに接続し、MS Outlook "NewMail"および "ItemSend"イベントハンドラとして登録されます(ワームはMS Outlookイベントに自身を添付します)。

"NewMail"(新しいメールが到着しました)では、このワームは、別の感染マシンからのメッセージであるかのように見えて、それを削除します。ワームはメッセージを開き、EXE添付ファイルを探し、EXE添付ファイルの長さがワームのEXEファイルと同じ場合はそのメッセージを削除します。

"ItemSend"(メッセージが送信されている)では、ワームはすでに添付されているファイルを探し、最初のファイルを取得し、自身のコピーで置き換え、添付ファイルの名前を.EXEに変更して送信します。メッセージに添付ファイルがない場合、ワームは8バイトのランダムな名前と.EXEファイルを添付します。

13日の13:00から14:00に、ワームはメッセージ本文の先頭にテキストを追加します。

[I-Worm.Hydra] … [mions]のgl_st0rmによって

保護

このワームは、自身を隠し、そのファイルと感染したレジストリの "実行="キーを削除しないようにするいくつかのアクションを実行します。ワームは、WindowsのシステムディレクトリにあるMSCONFIG.EXEファイルを削除し、アクティブなアプリケーションを探して駆除します(これらのプロセスは終了します)。

「AVPモニター」
"AntiVir"
"Vshwin"
"F-STOPW"
"F-Secure"
"vettray"
"InoculateIT"
"ノーマンウイルスコントロール"
"navpw32"
"Norton AntiVirus"
"イオモン98"
"AVG"
"NOD32"
"Dr.Web"
"Amon"
「Trend PC-cillin」
「ファイルモニター」
"レジストリモニタ"
"レジストリエディタ"
"タスクマネージャー"

その結果、ワームはいくつかの種類のアンチウイルス保護を無効にするだけでなく、起動時にレジストリエディタをすぐに終了させます。

また、Kaspersky Anti-Virus(旧AVP)のウイルス対策データベースを駆除します。

SETI分散ネットワークのメンバー

このワームは、感染コンピュータ上のSETI(外生知能検索)ソフトウェアをインストールして起動します(SETIの詳細については、http://setiathome.berkeley.eduを参照してください)。

SETIソフトウェアは、以下のFTPサイトからMSSETI.EXE名でWindowsディレクトリにダウンロードされます。

ftp://ftp.cdrom.com/pub/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.let.uu.nl/pub/software/winnt/setiathome-3.03.i386-winnt-cmdline.exe
ftp://ftp.cdrom.com/.2/setiathome/setiathome-3.03.i386-winnt-cmdline.exe
ftp://alien.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe
ftp://setidata.ssl.berkeley.edu/pub/setiathome-3.03.i386-winnt-cmdline.exe

ワームは、Windowsディレクトリに次のファイルも作成します。

SETI固有の情報を持つUSER_INFO.SAHおよびVERSION.SAH
SETIプログラムを実行するMSSETI.PIF、RUN_MSSETI.VBS、MSSETI.BAT

レジストリの自動実行キーにRUN_MSSETI.VBSファイルを登録します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
msseti = WScript.exe%WinDir%run_msseti.vbs "
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
msseti = WScript.exe%WinDir%run_msseti.vbs "

USER_INFO.SAHファイルには、SETIユーザーに関するユーザー固有の情報が含まれています。このIDには、以下のIDが書き込まれます。

id = 2199938
キー= 1603033966
email_addr=gl_storm@seznam.cz
名前= GL_STORM
国=チェコ共和国


オリジナルへのリンク