親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、電子メールメッセージに添付されて広がるインターネットワームです。ワームはWin32システムでのみ動作します。ワームは、ワームのニーズに応じて実行されるコード内のコンポーネント(プラグイン)を含み、これらのコンポーネントはインターネットWebサイトからアップグレードできます。
主要なワームのバージョンは半多形暗号化ループで暗号化されています。
ワームには、次のテキスト文字列が含まれています。
HYBRIS
(c)ヴェクナ
ワームラン
コンピュータ上の主要なワームの標的はWSOCK32.DLLライブラリです。このファイルに感染すると、ワームは:
- 最後のファイルセクションの最後に自身を書き込む
- フック "connect"、 "recv"、 "send"関数
- DLLエントリルーチンアドレス(DLLファイルがロードされているときに起動されるルーチン)を変更し、元のエントリルーチンを暗号化する
ワームがWSOCK32.DLLを感染させることができない場合(使用中で、書き込みのためにロックされている場合)、ウイルスはそのライブラリのコピーを作成し(WSOCK32.DLLのコピー)、感染させてWININIT.INIファイルに "名前を変更"命令。その結果、WSOCK32.DLLは、次回のWindows起動時に感染したイメージに置き換えられます。
ワームはまた、Windowsのシステムディレクトリにランダムな名前のコピーを作成し、それをRunOnceレジストリキーに登録します。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =%WinSystem%WormName または
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =%WinSystem%WormName %WinSystem%はWindowsのシステムディレクトリで、 "WormName"はランダムな8つのシンボル名です(例:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE
追加のワームコピーを "RunOnce"レジストリキーに登録する必要があるのは、最初のワームの実行中にWSOCK32.DLLが感染しておらず、感染したコピーが何らかの理由で作成されなかった場合、 "RunOnce"ワームコピーは次のWindows再起動時にタスクを完了します。
感染したWSOCK32.DLL
ワームは、インターネットを含むネットワーク接続を確立するWindows機能を傍受します。ワームは、送受信されるデータを傍受し、電子メールアドレスをスキャンします。ワームは、アドレスが検出されるとしばらく待機し、感染したメッセージをそのアドレスに送信します。
プラグイン
ワームの機能は、128ビットの鍵を持つRSAのような強力な暗号アルゴリズムで暗号化されたワーム本体に格納されているプラグインによって異なります。異なるワームのバージョンには32個までのプラグインがあります。これらのプラグインは、Webページから更新できるさまざまなアクションを実行します。
http://pleiku.vietmedia.com/bye/
完全なワームの機能は、Webページ上のプラグインをアップグレードできるホストにのみ依存します。ページ上のプラグインは、RSAのような暗号でも暗号化されます。
ワームはalt.comp.virusニュースグループを使用してプラグインを更新します。このワームは、マシン上でアクティブになり、ニュースサーバーに接続します(ランダムに選択されたサーバーの1つを使用して、リストに70を超えるアドレスがあります)、プラグインをニュースグループメッセージに変換してポストします。ワームのメッセージには、ランダムなSubjectがあります。たとえば、次のようになります。
HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
テキストLNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
テキストRFRE rebibmTCDOzGbCjSZ
最初の4つの雑用はプラグイン "名前"で、次の4つの雑用はエンコードされたプラグイン "バージョン"です。ワームは、alt.comp.virusからそのようなメッセージを読み込み、送信するだけでなく、プラグイン "name"と "version"を取得し、ワームが現在使用しているプラグインと比較します。ニュースグループにプラグインバージョンの高いメッセージがある場合、ワームはそれを抽出して既存のものを置き換えます。ワームはalt.comp.virusを使ってプラグインをアップグレードします。
ワームはまた、これらのプラグインをWindowsシステムディレクトリにディスクファイルとして作成します。彼らはまた、ランダムな名前を持っていますが、ワームは引き続きそれらにアクセスできます。名前は次のようになります。
BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
マラドリー.ALA
既知のいくつかのプラグインがあります:
1.利用可能なすべてのドライブのすべてのZIPおよびRARアーカイブをC:〜Z:に感染させます。感染中、ワームは.EX $拡張子を持つアーカイブ内のEXEファイルの名前を変更し、.EXE拡張子を持つそのコピーをアーカイブに追加します(感染の仲間メソッド)。
2.エンコードされたプラグインを含むメッセージを「alt.comp.virus」neewsgroupに送信し、そこから新しいプラグインを取得します。
3. SubSevenバックドア型トロイの木馬がインストールされているリモートマシンにウイルスを拡散させます。プラグインはそのようなマシンをネット上で検出し、SubSevenコマンドを使用してマシンにワームコピーをアップロードし、そこに生成します。
4.電子メールに添付されたコピーを送信する前に、多形の暗号化ループでワームコピーを暗号化します。
5.システムの日付と時刻(9月16日と24日、および既知のプラグインで2001年から始まる1時間あたり59分)に応じて、「らせん」効果が実行されます。
このプラグインは、Windowsのシステムディレクトリにランダムな8バイトの.EXE名を作成し、そこに "spirale effect" EXEコードを解凍し、そのファイルをシステムに登録します。
Win9xの下:WIN.INIファイルの[windows]で "Run =" WinNTの下の行:システムレジストリの "Run ="キー
6. DOS EXEファイルとWindows PE EXEファイルに影響します。ワームはそれらに影響を与え、ワームの駆除者になるようになります。実行時には、ワームEXEファイルをTEMPディレクトリにドロップして実行します。
DOS EXEファイルに影響を与えている間、プラグインはドロッパーコードとワーム本体をファイルの最後に追加します。これらのファイルは駆除できません。
Windows PE EXEファイルに影響を与えると、プラグインはファイルコードセクションを上書きしてワームコードのギャップを取得し、そのギャップにワームドロッパーコードを書き込みます(十分なサイズがある場合)。プラグインはファイルヘッダ(エントリポイントアドレスを含む)には触れず、ファイルサイズも増加しません。さらに、プラグインのコードで特別なデータを埋める反CRC(chechsum)ルーチンを備えているため、ファイルCRCはいくつかの一般的に使用されるCRCアルゴリズムで同じになります。つまり、一部の整合性チェッカーは影響を受けたファイルの変更を検出しません。つまり、ファイルの長さとファイルの本文CRCは、クリーンファイルの場合と同じです。
このようなPE EXEファイルが実行されると、ドロッパーコードはワームをドロップしてアクティブにし、コードセクションを復元してホストファイルに制御を戻します。
7.電子メールメッセージでワームのコピーを送信する際に、件名、メッセージテキスト、および添付ファイル名をランダムに選択します。
から:
ハハハ[hahaha@sexyfun.net]
科目:
Snowhiteと7人の矮星 - The REAL story!
Branca de Neveポルノフ!
Enanito si、pero con que pedazo!
レ・ゼ7
メッセージテキスト:
息子のdixのhuitieme anniversaireの未来のC'etait un jour。あなたの欲求を満たすために、あなたは喜んで助けてくれるでしょう。 5つの通貨があります。空のコキンを使用しています...
今日、Snowhiteは18歳になっていました。7人のDwarfsは、常にSnowhiteで教育を受け、丁寧なところにいました。彼らが私のところで働くと、彼らは巨大な*驚きを約束した。雪山は不安だった。ゆっくりと、ドアが開き、7人のDwarfsが入ります...
ファルタバ・アペナスは、 Blanca de Nieveは、あなたの意見を聞いてみませんか?グランデ・ソルプレーザ・パラ・フェスティバル・コンプリートAl entardecer、llegaron。テニアン・ブライモ・インムーン・ロス・オホス...
18カ所以上のアファスパネルのアペランス。ブランカ・デ・ネヴェのエスパニョーラ・フェリシェ・エナシオ、ポルケ・オス7年、プロメタラム・ウマ*グランデ*・サプレッサ。シンコ・オラスとして、オランダはボランタリーを行う。 Mas algo nao estava bem ...オセアニア・スズラム・アムステルダム・エストロニョ・ブリリオ・オブ・オハール...
名前を添付してください:
enano.exe
enano porno.exe
Blanca de nieve.scr
enanito fisgon.exeセクシーなvirgin.scr
joke.exe
midgets.scr
dwarf4you.exeblancheneige.exe
sexynain.scr
blanche.scr
nains.exeブランカデネベ.scr
atchim.exe
dunga.scr
an�oporn�.scr
同様に(プラグインのバージョンによって):
メッセージのSubjectは、以下のランダムな組み合わせです。
アンナ+セックス Raquel Darianセクシー ゼナホット Xuxaが一番熱い Suzete cum 有名なザーメン 有名人レイプの角質 革...など
アタッチ名:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
有名人rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe
添付ファイル名は、ランダムな8バイトの.EXE名でもかまいません。例:
ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com