本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Hybris

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、電子メールメッセージに添付されて広がるインターネットワームです。ワームはWin32システムでのみ動作します。ワームは、ワームのニーズに応じて実行されるコード内のコンポーネント(プラグイン)を含み、これらのコンポーネントはインターネットWebサイトからアップグレードできます。

主要なワームのバージョンは半多形暗号化ループで暗号化されています。

ワームには、次のテキスト文字列が含まれています。

HYBRIS
(c)ヴェクナ

ワームラン

コンピュータ上の主要なワームの標的はWSOCK32.DLLライブラリです。このファイルに感染すると、ワームは:

  • 最後のファイルセクションの最後に自身を書き込む
  • フック "connect"、 "recv"、 "send"関数
  • DLLエントリルーチンアドレス(DLLファイルがロードされているときに起動されるルーチン)を変更し、元のエントリルーチンを暗号化する

ワームがWSOCK32.DLLを感染させることができない場合(使用中で、書き込みのためにロックされている場合)、ウイルスはそのライブラリのコピーを作成し(WSOCK32.DLLのコピー)、感染させてWININIT.INIファイルに "名前を変更"命令。その結果、WSOCK32.DLLは、次回のWindows起動時に感染したイメージに置き換えられます。

ワームはまた、Windowsのシステムディレクトリにランダムな名前のコピーを作成し、それをRunOnceレジストリキーに登録します。

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =%WinSystem%WormName 

または

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =%WinSystem%WormName 

%WinSystem%はWindowsのシステムディレクトリで、 "WormName"はランダムな8つのシンボル名です(例:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

追加のワームコピーを "RunOnce"レジストリキーに登録する必要があるのは、最初のワームの実行中にWSOCK32.DLLが感染しておらず、感染したコピーが何らかの理由で作成されなかった場合、 "RunOnce"ワームコピーは次のWindows再起動時にタスクを完了します。

感染したWSOCK32.DLL

ワームは、インターネットを含むネットワーク接続を確立するWindows機能を傍受します。ワームは、送受信されるデータを傍受し、電子メールアドレスをスキャンします。ワームは、アドレスが検出されるとしばらく待機し、感染したメッセージをそのアドレスに送信します。

プラグイン

ワームの機能は、128ビットの鍵を持つRSAのような強力な暗号アルゴリズムで暗号化されたワーム本体に格納されているプラ​​グインによって異なります。異なるワームのバージョンには32個までのプラグインがあります。これらのプラグインは、Webページから更新できるさまざまなアクションを実行します。

http://pleiku.vietmedia.com/bye/

完全なワームの機能は、Webページ上のプラグインをアップグレードできるホストにのみ依存します。ページ上のプラグインは、RSAのような暗号でも暗号化されます。

ワームはalt.comp.virusニュースグループを使用してプラグインを更新します。このワームは、マシン上でアクティブになり、ニュースサーバーに接続します(ランダムに選択されたサーバーの1つを使用して、リストに70を超えるアドレスがあります)、プラグインをニュースグループメッセージに変換してポストします。ワームのメッセージには、ランダムなSubjectがあります。たとえば、次のようになります。

HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
テキストLNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
テキストRFRE rebibmTCDOzGbCjSZ

最初の4つの雑用はプラグイン "名前"で、次の4つの雑用はエンコードされたプラグイン "バージョン"です。ワームは、alt.comp.virusからそのようなメッセージを読み込み、送信するだけでなく、プラグイン "name"と "version"を取得し、ワームが現在使用しているプラ​​グインと比較します。ニュースグループにプラグインバージョンの高いメッセージがある場合、ワームはそれを抽出して既存のものを置き換えます。ワームはalt.comp.virusを使ってプラグインをアップグレードします。

ワームはまた、これらのプラグインをWindowsシステムディレクトリにディスクファイルとして作成します。彼らはまた、ランダムな名前を持っていますが、ワームは引き続きそれらにアクセスできます。名前は次のようになります。

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
マラドリー.ALA

既知のいくつかのプラグインがあります:

1.利用可能なすべてのドライブのすべてのZIPおよびRARアーカイブをC:〜Z:に感染させます。感染中、ワームは.EX $拡張子を持つアーカイブ内のEXEファイルの名前を変更し、.EXE拡張子を持つそのコピーをアーカイブに追加します(感染の仲間メソッド)。

2.エンコードされたプラグインを含むメッセージを「alt.comp.virus」neewsgroupに送信し、そこから新しいプラグインを取得します。

3. SubSevenバックドア型トロイの木馬がインストールされているリモートマシンにウイルスを拡散させます。プラグインはそのようなマシンをネット上で検出し、SubSevenコマンドを使用してマシンにワームコピーをアップロードし、そこに生成します。

4.電子メールに添付されたコピーを送信する前に、多形の暗号化ループでワームコピーを暗号化します。

5.システムの日付と時刻(9月16日と24日、および既知のプラグインで2001年から始まる1時間あたり59分)に応じて、「らせん」効果が実行されます。

このプラグインは、Windowsのシステムディレクトリにランダムな8バイトの.EXE名を作成し、そこに "spirale effect" EXEコードを解凍し、そのファイルをシステムに登録します。

Win9xの下:WIN.INIファイルの[windows]で "Run =" WinNTの下の行:システムレジストリの "Run ="キー

6. DOS EXEファイルとWindows PE EXEファイルに影響します。ワームはそれらに影響を与え、ワームの駆除者になるようになります。実行時には、ワームEXEファイルをTEMPディレクトリにドロップして実行します。

DOS EXEファイルに影響を与えている間、プラグインはドロッパーコードとワーム本体をファイルの最後に追加します。これらのファイルは駆除できません。

Windows PE EXEファイルに影響を与えると、プラグインはファイルコードセクションを上書きしてワームコードのギャップを取得し、そのギャップにワームドロッパーコードを書き込みます(十分なサイズがある場合)。プラグインはファイルヘッダ(エントリポイントアドレスを含む)には触れず、ファイルサイズも増加しません。さらに、プラグインのコードで特別なデータを埋める反CRC(chechsum)ルーチンを備えているため、ファイルCRCはいくつかの一般的に使用されるCRCアルゴリズムで同じになります。つまり、一部の整合性チェッカーは影響を受けたファイルの変更を検出しません。つまり、ファイルの長さとファイルの本文CRCは、クリーンファイルの場合と同じです。

このようなPE EXEファイルが実行されると、ドロッパーコードはワームをドロップしてアクティブにし、コードセクションを復元してホストファイルに制御を戻します。

7.電子メールメッセージでワームのコピーを送信する際に、件名、メッセージテキスト、および添付ファイル名をランダムに選択します。

から:

ハハハ[hahaha@sexyfun.net]

科目:

Snowhiteと7人の矮星 – The REAL story!

Branca de Neveポルノフ!

Enanito si、pero con que pedazo!

レ・ゼ7

メッセージテキスト:

息子のdixのhuitieme anniversaireの未来のC'etait un jour。あなたの欲求を満たすために、あなたは喜んで助けてくれるでしょう。 5つの通貨があります。空のコキンを使用しています…

今日、Snowhiteは18歳になっていました。7人のDwarfsは、常にSnowhiteで教育を受け、丁寧なところにいました。彼らが私のところで働くと、彼らは巨大な*驚きを約束した。雪山は不安だった。ゆっくりと、ドアが開き、7人のDwarfsが入ります…

ファルタバ・アペナスは、 Blanca de Nieveは、あなたの意見を聞いてみませんか?グランデ・ソルプレーザ・パラ・フェスティバル・コンプリートAl entardecer、llegaron。テニアン・ブライモ・インムーン・ロス・オホス…

18カ所以上のアファスパネルのアペランス。ブランカ・デ・ネヴェのエスパニョーラ・フェリシェ・エナシオ、ポルケ・オス7年、プロメタラム・ウマ*グランデ*・サプレッサ。シンコ・オラスとして、オランダはボランタリーを行う。 Mas algo nao estava bem …オセアニア・スズラム・アムステルダム・エストロニョ・ブリリオ・オブ・オハール…

名前を添付してください:

enano.exe
enano porno.exe
Blanca de nieve.scr
enanito fisgon.exe

セクシーなvirgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

ブランカデネベ.scr
atchim.exe
dunga.scr
an�oporn�.scr

同様に(プラグインのバージョンによって):

メッセージのSubjectは、以下のランダムな組み合わせです。

 アンナ+セックス
 Raquel Darianセクシー
 ゼナホット
 Xuxaが一番熱い
 Suzete cum
 有名なザーメン
 有名人レイプの角質
 革...など

アタッチ名:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
有名人rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

添付ファイル名は、ランダムな8バイトの.EXE名でもかまいません。例:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE

効果


オリジナルへのリンク