本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Happy

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、「野生の中で」発見された最初の既知の現代インターネットワームです。このコンピュータワームは、そのコピーを広げながら、ディスクファイルを主な標的として感染させるのではなく、電子メールメッセージの添付ファイルとしてインターネット経由で自身のコピーを複製するウイルスプログラムの一種です。このワームは、誰か(恐らくワームの作者によって)が1999年1月にいくつかのニュースサーバーに投稿した後、数日後にヨーロッパの "野生の中"で発見され、広がり続けました。

このワームは、HAPPY99.EXEファイルとして添付ファイルとして電子メールに届きます。感染した添付ファイルが実行され、制御権を得た場合、ワームは悪意のある性質を隠すためにプログラムのウィンドウに面白い花火を表示します。この間、システムに自身をインストールし、インターネットへの送信をフックし、コードを添付ファイルに変換してメッセージに追加します。その結果、ワームは、システムにインストールされたときに、メッセージが送信されるすべてのアドレスにそのコピーを広めることができます。

インストール時に、このワームはWindowsシステムディレクトリ内のファイルのみに影響します。そこにSKA.EXEとSKA.DLLファイルが作成され、WSOCK32.DLLが新しく作成されたWSOCK32.SKAにコピーされ、元のWSOCK32.DLLファイルがフック電子メールの呼び出しにパッチされます。

除去と保護

ワームがシステム内で検出された場合は、システムのWindowsディレクトリにあるSKA.EXEファイルとSKA.DLLファイルを削除するだけで簡単に駆除できます。また、WSOCK32.DLLファイルを削除し、WSOCK32.SKA元のファイルで置き換える必要があります。元のHAPPY99.EXEファイルも検索して削除する必要があります。

コンピュータを再感染から保護するためには、WSOCK32.DLLファイルに "読み取り専用"属性を設定するだけで済みます。このワームは、読み取り専用モードには注意を払わず、ファイルの修正に失敗します。このトリックは、DataFellows(http://www.datafellows.com)のPeter Szorによって発見されました。

思い出してください

信頼できない、または不明なソースから受信した場合、添付ファイルとして受信したHAPPY99.EXEファイルを開いて実行しないでください。インターネットからアクセスしたファイルには、コンピュータに感染したり、データを破棄したり、機密ファイルをインターネット経由で送信したり、リモートホストからコンピュータを監視するためのスパイプログラムをインストールしたりする悪質なコードが含まれている可能性があります。

VirusProtectionを無効にしてMS Officeファイルを開き、信頼できない実行可能ファイルを実行することは非常に危険です。着信メッセージへの添付ファイルが表示されるたびに、これを覚えておく必要があります。

技術的な詳細

ワームは、10.000バイトの実行可能ファイルHAPPY99.EXEとして正確に届きます。このファイルには、Win32 Portable Executable(PE)の内部構造があります。ワームはWin95 / 98システムに自身をインストールし、問題なく広がり続けます。 WinNTでは、バグのために広がることができません。

ワームはテキスト文字列を含み、その一部は暗号化されています:


それはウイルス、ワーム、トロイの木馬ですか? MOUT-MOUTハイブリッド(c)Spanska 1999。
ハッピーニューイヤー1999!
644 Happy99.exeを終了します。
Ska.exe liste.ska
wsock32.dll Ska.dll Ska.exe

HAPPY99.EXEファイルが実行されると、ワームはWindowsシステムディレクトリにSKA.EXEという名前で自身をコピーし、同じディレクトリに追加のSKA.DLLファイルをドロップします。 SKA.DLLは、メインのEXEファイル(HAPPY99.EXE)に暗号化され、ライトパック形式で格納されます。

ワームはWSOCK32.DLLをWSOCK32.SKA名にコピーし( "バックアップ"を作成します)、WSOCK32.DLLファイルにパッチを当てます。 WSOCK32.DLLが使用中で、書き込み用に開けない場合、ワームはシステムレジストリに新しいキーを作成し、次の再起動時にそのドロッパを実行します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE

WSOCK32.DLLパッチは、ワーム初期化ルーチンと2つのリダイレクトされたエクスポートで構成されています。初期化ルーチンはちょうど小さなワームコードです – わずか202バイトです。 WSOCK32.DLLコードセクション( ".text"セクション)の最後に保存されます。 WSOCK32.DLLには十分な領域があり、WSOCK32.DLLのサイズは感染中に増加しません。次に、WSOCK32.DLLコードセクションの末尾にある2つの機能( "connect"と "send")がワームの初期化ルーチンを指すように、WSOCK32.DLLエクスポートテーブルにパッチを適用します。

ユーザーがインターネットに接続すると、WSOCK32.DLLがアクティブになり、ワームは接続とデータ送信という2つのイベントをフックします。ワームは、電子メールとニュースポート(25と119 – smtpとnntp)を監視します。これらのポートのいずれかで接続を検出すると、 "mail"と "news"という2つのエクスポートを持つSKA.DLLライブラリがロードされます。ワームはポート番号に応じてこれらのルーチンの1つを呼び出しますが、どちらも新しいメッセージを作成し、UUencodedワームHAPPY99.EXEドロッパーを挿入してインターネットアドレスに送信します。ワームはまた、 "感染した"メッセージのkludgeヘッダーにそのスタンプを追加します。


X-Spanska:はい

ワームは、感染した添付ファイルを送信する際に、受信者のアドレスをWindowsシステムディレクトリのLISTE.SKAファイルに保存します。この「ログ」ファイルには最大5Kのデータが含まれ、感染したメッセージが送信されたアドレスは最大約200個まで含めることができます。


ウイルスの効果のデモンストレーション:

happy.gif


オリジナルへのリンク