本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス
Email-Worm
プラットフォーム
Win32

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これは、「野生の中で」発見された最初の既知の現代インターネットワームです。このコンピュータワームは、そのコピーを広げながら、ディスクファイルを主な標的として感染させるのではなく、電子メールメッセージの添付ファイルとしてインターネット経由で自身のコピーを複製するウイルスプログラムの一種です。このワームは、誰か(恐らくワームの作者によって)が1999年1月にいくつかのニュースサーバーに投稿した後、数日後にヨーロッパの "野生の中"で発見され、広がり続けました。

このワームは、HAPPY99.EXEファイルとして添付ファイルとして電子メールに届きます。感染した添付ファイルが実行され、制御権を得た場合、ワームは悪意のある性質を隠すためにプログラムのウィンドウに面白い花火を表示します。この間、システムに自身をインストールし、インターネットへの送信をフックし、コードを添付ファイルに変換してメッセージに追加します。その結果、ワームは、システムにインストールされたときに、メッセージが送信されるすべてのアドレスにそのコピーを広めることができます。

インストール時に、このワームはWindowsシステムディレクトリ内のファイルのみに影響します。そこにSKA.EXEとSKA.DLLファイルが作成され、WSOCK32.DLLが新しく作成されたWSOCK32.SKAにコピーされ、元のWSOCK32.DLLファイルがフック電子メールの呼び出しにパッチされます。

除去と保護

ワームがシステム内で検出された場合は、システムのWindowsディレクトリにあるSKA.EXEファイルとSKA.DLLファイルを削除するだけで簡単に駆除できます。また、WSOCK32.DLLファイルを削除し、WSOCK32.SKA元のファイルで置き換える必要があります。元のHAPPY99.EXEファイルも検索して削除する必要があります。

コンピュータを再感染から保護するためには、WSOCK32.DLLファイルに "読み取り専用"属性を設定するだけで済みます。このワームは、読み取り専用モードには注意を払わず、ファイルの修正に失敗します。このトリックは、DataFellows(http://www.datafellows.com)のPeter Szorによって発見されました。

思い出してください

信頼できない、または不明なソースから受信した場合、添付ファイルとして受信したHAPPY99.EXEファイルを開いて実行しないでください。インターネットからアクセスしたファイルには、コンピュータに感染したり、データを破棄したり、機密ファイルをインターネット経由で送信したり、リモートホストからコンピュータを監視するためのスパイプログラムをインストールしたりする悪質なコードが含まれている可能性があります。

VirusProtectionを無効にしてMS Officeファイルを開き、信頼できない実行可能ファイルを実行することは非常に危険です。着信メッセージへの添付ファイルが表示されるたびに、これを覚えておく必要があります。

技術的な詳細

ワームは、10.000バイトの実行可能ファイルHAPPY99.EXEとして正確に届きます。このファイルには、Win32 Portable Executable(PE)の内部構造があります。ワームはWin95 / 98システムに自身をインストールし、問題なく広がり続けます。 WinNTでは、バグのために広がることができません。

ワームはテキスト文字列を含み、その一部は暗号化されています:

それはウイルス、ワーム、トロイの木馬ですか? MOUT-MOUTハイブリッド(c)Spanska 1999。ハッピーニューイヤー1999!644 Happy99.exeを終了します。Ska.exe liste.skawsock32.dll Ska.dll Ska.exe

HAPPY99.EXEファイルが実行されると、ワームはWindowsシステムディレクトリにSKA.EXEという名前で自身をコピーし、同じディレクトリに追加のSKA.DLLファイルをドロップします。 SKA.DLLは、メインのEXEファイル(HAPPY99.EXE)に暗号化され、ライトパック形式で格納されます。

ワームはWSOCK32.DLLをWSOCK32.SKA名にコピーし( "バックアップ"を作成します)、WSOCK32.DLLファイルにパッチを当てます。 WSOCK32.DLLが使用中で、書き込み用に開けない場合、ワームはシステムレジストリに新しいキーを作成し、次の再起動時にそのドロッパを実行します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE

WSOCK32.DLLパッチは、ワーム初期化ルーチンと2つのリダイレクトされたエクスポートで構成されています。初期化ルーチンはちょうど小さなワームコードです - わずか202バイトです。 WSOCK32.DLLコードセクション( ".text"セクション)の最後に保存されます。 WSOCK32.DLLには十分な領域があり、WSOCK32.DLLのサイズは感染中に増加しません。次に、WSOCK32.DLLコードセクションの末尾にある2つの機能( "connect"と "send")がワームの初期化ルーチンを指すように、WSOCK32.DLLエクスポートテーブルにパッチを適用します。

ユーザーがインターネットに接続すると、WSOCK32.DLLがアクティブになり、ワームは接続とデータ送信という2つのイベントをフックします。ワームは、電子メールとニュースポート(25と119 - smtpとnntp)を監視します。これらのポートのいずれかで接続を検出すると、 "mail"と "news"という2つのエクスポートを持つSKA.DLLライブラリがロードされます。ワームはポート番号に応じてこれらのルーチンの1つを呼び出しますが、どちらも新しいメッセージを作成し、UUencodedワームHAPPY99.EXEドロッパーを挿入してインターネットアドレスに送信します。ワームはまた、 "感染した"メッセージのkludgeヘッダーにそのスタンプを追加します。

X-Spanska:はい

ワームは、感染した添付ファイルを送信する際に、受信者のアドレスをWindowsシステムディレクトリのLISTE.SKAファイルに保存します。この「ログ」ファイルには最大5Kのデータが含まれ、感染したメッセージが送信されたアドレスは最大約200個まで含めることができます。


ウイルスの効果のデモンストレーション:

happy.gif

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Confirm changes?
Your message has been sent successfully.