Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、電子メールメッセージに添付されて広がるインターネットワームです。ワームはWin32システムでのみ動作します。ワームは、ワームのニーズに応じて実行されるコード内のコンポーネント（プラグイン）を含み、これらのコンポーネントはインターネットWebサイトからアップグレードできます。

主要なワームのバージョンは半多形暗号化ループで暗号化されています。

ワームには、次のテキスト文字列が含まれています。

HYBRIS
（c）ヴェクナ

ワームラン

コンピュータ上の主要なワームの標的はWSOCK32.DLLライブラリです。このファイルに感染すると、ワームは：

最後のファイルセクションの最後に自身を書き込む
フック "connect"、 "recv"、 "send"関数
DLLエントリルーチンアドレス（DLLファイルがロードされているときに起動されるルーチン）を変更し、元のエントリルーチンを暗号化する

ワームがWSOCK32.DLLを感染させることができない場合（使用中で、書き込みのためにロックされている場合）、ウイルスはそのライブラリのコピーを作成し（WSOCK32.DLLのコピー）、感染させてWININIT.INIファイルに "名前を変更"命令。その結果、WSOCK32.DLLは、次回のWindows起動時に感染したイメージに置き換えられます。

ワームはまた、Windowsのシステムディレクトリにランダムな名前のコピーを作成し、それをRunOnceレジストリキーに登録します。

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =％WinSystem％WormName

または

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =％WinSystem％WormName

％WinSystem％はWindowsのシステムディレクトリで、 "WormName"はランダムな8つのシンボル名です（例：

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

追加のワームコピーを "RunOnce"レジストリキーに登録する必要があるのは、最初のワームの実行中にWSOCK32.DLLが感染しておらず、感染したコピーが何らかの理由で作成されなかった場合、 "RunOnce"ワームコピーは次のWindows再起動時にタスクを完了します。

感染したWSOCK32.DLL

ワームは、インターネットを含むネットワーク接続を確立するWindows機能を傍受します。ワームは、送受信されるデータを傍受し、電子メールアドレスをスキャンします。ワームは、アドレスが検出されるとしばらく待機し、感染したメッセージをそのアドレスに送信します。

プラグイン

ワームの機能は、128ビットの鍵を持つRSAのような強力な暗号アルゴリズムで暗号化されたワーム本体に格納されているプラグインによって異なります。異なるワームのバージョンには32個までのプラグインがあります。これらのプラグインは、Webページから更新できるさまざまなアクションを実行します。

http://pleiku.vietmedia.com/bye/

完全なワームの機能は、Webページ上のプラグインをアップグレードできるホストにのみ依存します。ページ上のプラグインは、RSAのような暗号でも暗号化されます。

ワームはalt.comp.virusニュースグループを使用してプラグインを更新します。このワームは、マシン上でアクティブになり、ニュースサーバーに接続します（ランダムに選択されたサーバーの1つを使用して、リストに70を超えるアドレスがあります）、プラグインをニュースグループメッセージに変換してポストします。ワームのメッセージには、ランダムなSubjectがあります。たとえば、次のようになります。

HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
テキストLNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
テキストRFRE rebibmTCDOzGbCjSZ

最初の4つの雑用はプラグイン "名前"で、次の4つの雑用はエンコードされたプラグイン "バージョン"です。ワームは、alt.comp.virusからそのようなメッセージを読み込み、送信するだけでなく、プラグイン "name"と "version"を取得し、ワームが現在使用しているプラグインと比較します。ニュースグループにプラグインバージョンの高いメッセージがある場合、ワームはそれを抽出して既存のものを置き換えます。ワームはalt.comp.virusを使ってプラグインをアップグレードします。

ワームはまた、これらのプラグインをWindowsシステムディレクトリにディスクファイルとして作成します。彼らはまた、ランダムな名前を持っていますが、ワームは引き続きそれらにアクセスできます。名前は次のようになります。

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
マラドリー.ALA

既知のいくつかのプラグインがあります：

1.利用可能なすべてのドライブのすべてのZIPおよびRARアーカイブをC：〜Z：に感染させます。感染中、ワームは.EX $拡張子を持つアーカイブ内のEXEファイルの名前を変更し、.EXE拡張子を持つそのコピーをアーカイブに追加します（感染の仲間メソッド）。

2.エンコードされたプラグインを含むメッセージを「alt.comp.virus」neewsgroupに送信し、そこから新しいプラグインを取得します。

3. SubSevenバックドア型トロイの木馬がインストールされているリモートマシンにウイルスを拡散させます。プラグインはそのようなマシンをネット上で検出し、SubSevenコマンドを使用してマシンにワームコピーをアップロードし、そこに生成します。

4.電子メールに添付されたコピーを送信する前に、多形の暗号化ループでワームコピーを暗号化します。

5.システムの日付と時刻（9月16日と24日、および既知のプラグインで2001年から始まる1時間あたり59分）に応じて、「らせん」効果が実行されます。

このプラグインは、Windowsのシステムディレクトリにランダムな8バイトの.EXE名を作成し、そこに "spirale effect" EXEコードを解凍し、そのファイルをシステムに登録します。

Win9xの下：WIN.INIファイルの[windows]で "Run =" WinNTの下の行：システムレジストリの "Run ="キー

6. DOS EXEファイルとWindows PE EXEファイルに影響します。ワームはそれらに影響を与え、ワームの駆除者になるようになります。実行時には、ワームEXEファイルをTEMPディレクトリにドロップして実行します。

DOS EXEファイルに影響を与えている間、プラグインはドロッパーコードとワーム本体をファイルの最後に追加します。これらのファイルは駆除できません。

Windows PE EXEファイルに影響を与えると、プラグインはファイルコードセクションを上書きしてワームコードのギャップを取得し、そのギャップにワームドロッパーコードを書き込みます（十分なサイズがある場合）。プラグインはファイルヘッダ（エントリポイントアドレスを含む）には触れず、ファイルサイズも増加しません。さらに、プラグインのコードで特別なデータを埋める反CRC（chechsum）ルーチンを備えているため、ファイルCRCはいくつかの一般的に使用されるCRCアルゴリズムで同じになります。つまり、一部の整合性チェッカーは影響を受けたファイルの変更を検出しません。つまり、ファイルの長さとファイルの本文CRCは、クリーンファイルの場合と同じです。

このようなPE EXEファイルが実行されると、ドロッパーコードはワームをドロップしてアクティブにし、コードセクションを復元してホストファイルに制御を戻します。

7.電子メールメッセージでワームのコピーを送信する際に、件名、メッセージテキスト、および添付ファイル名をランダムに選択します。

から：

ハハハ[hahaha@sexyfun.net]

科目：

Snowhiteと7人の矮星 – The REAL story！

Branca de Neveポルノフ！

Enanito si、pero con que pedazo！

レ・ゼ7

メッセージテキスト：

息子のdixのhuitieme anniversaireの未来のC'etait un jour。あなたの欲求を満たすために、あなたは喜んで助けてくれるでしょう。 5つの通貨があります。空のコキンを使用しています…

今日、Snowhiteは18歳になっていました。7人のDwarfsは、常にSnowhiteで教育を受け、丁寧なところにいました。彼らが私のところで働くと、彼らは巨大な*驚きを約束した。雪山は不安だった。ゆっくりと、ドアが開き、7人のDwarfsが入ります…

ファルタバ・アペナスは、 Blanca de Nieveは、あなたの意見を聞いてみませんか？グランデ・ソルプレーザ・パラ・フェスティバル・コンプリートAl entardecer、llegaron。テニアン・ブライモ・インムーン・ロス・オホス…

18カ所以上のアファスパネルのアペランス。ブランカ・デ・ネヴェのエスパニョーラ・フェリシェ・エナシオ、ポルケ・オス7年、プロメタラム・ウマ*グランデ*・サプレッサ。シンコ・オラスとして、オランダはボランタリーを行う。 Mas algo nao estava bem …オセアニア・スズラム・アムステルダム・エストロニョ・ブリリオ・オブ・オハール…

名前を添付してください：

enano.exe
enano porno.exe
Blanca de nieve.scr
enanito fisgon.exe

セクシーなvirgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

ブランカデネベ.scr
atchim.exe
dunga.scr
an�oporn�.scr

同様に（プラグインのバージョンによって）：

メッセージのSubjectは、以下のランダムな組み合わせです。

 アンナ+セックス
 Raquel Darianセクシー
 ゼナホット
 Xuxaが一番熱い
 Suzete cum
 有名なザーメン
 有名人レイプの角質
 革...など

アタッチ名：

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
有名人rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

添付ファイル名は、ランダムな8バイトの.EXE名でもかまいません。例：

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、電子メールメッセージに添付されて広がるインターネットワームです。ワームはWin32システムでのみ動作します。ワームは、ワームのニーズに応じて実行されるコード内のコンポーネント（プラグイン）を含み、これらのコンポーネントはインターネットWebサイトからアップグレードできます。主要なワームのバージョンは半多形暗号化ループで暗号化されています。ワームには、次のテキスト文字列が含まれています。 HYBRIS （c）ヴェクナワームランコンピュータ上の主要なワームの標的はWSOCK32.DLLライブラリです。このファイルに感染すると、ワームは：最後のファイルセクションの最後に自身を書き込むフック "connect"、 "recv"、 "send"関数 DLLエントリルーチンアドレス（DLLファイルがロードされているときに起動されるルーチン）を変更し、元のエントリルーチンを暗号化するワームがWSOCK32.DLLを感染させることができない場合（使用中で、書き込みのためにロックされている場合）、ウイルスはそのライブラリのコピーを作成し（WSOCK32.DLLのコピー）、感染させてWININIT.INIファイルに "名前を変更"命令。その結果、WSOCK32.DLLは、次回のWindows起動時に感染したイメージに置き換えられます。ワームはまた、Windowsのシステムディレクトリにランダムな名前のコピーを作成し、それをRunOnceレジストリキーに登録します。 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =％WinSystem％WormName または HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {デフォルト} =％WinSystem％WormName ％WinSystem％はWindowsのシステムディレクトリで、 "WormName"はランダムな8つのシンボル名です（例： CCMBOIFM.EXE LPHBNGAE.EXE LFPCMOIF.EXE 追加のワームコピーを "RunOnce"レジストリキーに登録する必要があるのは、最初のワームの実行中にWSOCK32.DLLが感染しておらず、感染したコピーが何らかの理由で作成されなかった場合、 "RunOnce"ワームコピーは次のWindows再起動時にタスクを完了します。感染したWSOCK32.DLL ワームは、インターネットを含むネットワーク接続を確立するWindows機能を傍受します。ワームは、送受信されるデータを傍受し、電子メールアドレスをスキャンします。ワームは、アドレスが検出されるとしばらく待機し、感染したメッセージをそのアドレスに送信します。プラグインワームの機能は、128ビットの鍵を持つRSAのような強力な暗号アルゴリズムで暗号化されたワーム本体に格納されているプラグインによって異なります。異なるワームのバージョンには32個までのプラグインがあります。これらのプラグインは、Webページから更新できるさまざまなアクションを実行します。 http://pleiku.vietmedia.com/bye/ 完全なワームの機能は、Webページ上のプラグインをアップグレードできるホストにのみ依存します。ページ上のプラグインは、RSAのような暗号でも暗号化されます。ワームはalt.comp.virusニュースグループを使用してプラグインを更新します。このワームは、マシン上でアクティブになり、ニュースサーバーに接続します（ランダムに選択されたサーバーの1つを使用して、リストに70を超えるアドレスがあります）、プラグインをニュースグループメッセージに変換してポストします。ワームのメッセージには、ランダムなSubjectがあります。たとえば、次のようになります。 HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR テキストLNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH テキストRFRE rebibmTCDOzGbCjSZ 最初の4つの雑用はプラグイン "名前"で、次の4つの雑用はエンコードされたプラグイン "バージョン"です。ワームは、alt.comp.virusからそのようなメッセージを読み込み、送信するだけでなく、プラグイン "name"と "version"を取得し、ワームが現在使用しているプラグインと比較します。ニュースグループにプラグインバージョンの高いメッセージがある場合、ワームはそれを抽出して既存のものを置き換えます。ワームはalt.comp.virusを使ってプラグインをアップグレードします。ワームはまた、これらのプラグインをWindowsシステムディレクトリにディスクファイルとして作成します。彼らはまた、ランダムな名前を持っていますが、ワームは引き続きそれらにアクセスできます。名前は次のようになります。 BIBGAHNH.IBG DACMAPKO.ACM GAFIBPFM.AFI IMALADOL.MAL マラドリー.ALA 既知のいくつかのプラグインがあります： 1.利用可能なすべてのドライブのすべてのZIPおよびRARアーカイブをC：〜Z：に感染させます。感染中、ワームは.EX $拡張子を持つアーカイブ内のEXEファイルの名前を変更し、.EXE拡張子を持つそのコピーをアーカイブに追加します（感染の仲間メソッド）。 2.エンコードされたプラグインを含むメッセージを「alt.comp.virus」neewsgroupに送信し、そこから新しいプラグインを取得します。 3. SubSevenバックドア型トロイの木馬がインストールされているリモートマシンにウイルスを拡散させます。プラグインはそのようなマシンをネット上で検出し、SubSevenコマンドを使用してマシンにワームコピーをアップロードし、そこに生成します。 4.電子メールに添付されたコピーを送信する前に、多形の暗号化ループでワームコピーを暗号化します。 5.システムの日付と時刻（9月16日と24日、および既知のプラグインで2001年から始まる1時間あたり59分）に応じて、「らせん」効果が実行されます。このプラグインは、Windowsのシステムディレクトリにランダムな8バイトの.EXE名を作成し、そこに "spirale effect" EXEコードを解凍し、そのファイルをシステムに登録します。 Win9xの下：WIN.INIファイルの[windows]で "Run =" WinNTの下の行：システムレジストリの "Run ="キー 6. DOS EXEファイルとWindows PE EXEファイルに影響します。ワームはそれらに影響を与え、ワームの駆除者になるようになります。実行時には、ワームEXEファイルをTEMPディレクトリにドロップして実行します。 DOS EXEファイルに影響を与えている間、プラグインはドロッパーコードとワーム本体をファイルの最後に追加します。これらのファイルは駆除できません。 Windows PE EXEファイルに影響を与えると、プラグインはファイルコードセクションを上書きしてワームコードのギャップを取得し、そのギャップにワームドロッパーコードを書き込みます（十分なサイズがある場合）。プラグインはファイルヘッダ（エントリポイントアドレスを含む）には触れず、ファイルサイズも増加しません。さらに、プラグインのコードで特別なデータを埋める反CRC（chechsum）ルーチンを備えているため、ファイルCRCはいくつかの一般的に使用されるCRCアルゴリズムで同じになります。つまり、一部の整合性チェッカーは影響を受けたファイルの変更を検出しません。つまり、ファイルの長さとファイルの本文CRCは、クリーンファイルの場合と同じです。このようなPE EXEファイルが実行されると、ドロッパーコードはワームをドロップしてアクティブにし、コードセクションを復元してホストファイルに制御を戻します。 7.電子メールメッセージでワームのコピーを送信する際に、件名、メッセージテキスト、および添付ファイル名をランダムに選択します。から：ハハハ[hahaha@sexyfun.net] 科目： Snowhiteと7人の矮星 – The REAL story！ Branca de Neveポルノフ！ Enanito si、pero con que pedazo！レ・ゼ7 メッセージテキスト：息子のdixのhuitieme anniversaireの未来のC'etait un jour。あなたの欲求を満たすために、あなたは喜んで助けてくれるでしょう。 5つの通貨があります。空のコキンを使用しています… 今日、Snowhiteは18歳になっていました。7人のDwarfsは、常にSnowhiteで教育を受け、丁寧なところにいました。彼らが私のところで働くと、彼らは巨大な驚きを約束した。雪山は不安だった。ゆっくりと、ドアが開き、7人のDwarfsが入ります… ファルタバ・アペナスは、 Blanca de Nieveは、あなたの意見を聞いてみませんか？グランデ・ソルプレーザ・パラ・フェスティバル・コンプリートAl entardecer、llegaron。テニアン・ブライモ・インムーン・ロス・オホス… 18カ所以上のアファスパネルのアペランス。ブランカ・デ・ネヴェのエスパニョーラ・フェリシェ・エナシオ、ポルケ・オス7年、プロメタラム・ウマグランデ・サプレッサ。シンコ・オラスとして、オランダはボランタリーを行う。 Mas algo nao estava bem …オセアニア・スズラム・アムステルダム・エストロニョ・ブリリオ・オブ・オハール… 名前を添付してください：* enano.exe enano porno.exe Blanca de nieve.scr enanito fisgon.exe セクシーなvirgin.scr joke.exe midgets.scr dwarf4you.exe blancheneige.exe sexynain.scr blanche.scr nains.exe ブランカデネベ.scr atchim.exe dunga.scr an�oporn�.scr 同様に（プラグインのバージョンによって）：メッセージのSubjectは、以下のランダムな組み合わせです。アンナ+セックス Raquel Darianセクシーゼナホット Xuxaが一番熱い Suzete cum 有名なザーメン有名人レイプの角質革...などアタッチ名： Anna.exe Raquel Darian.exe Xena.exe Xuxa.exe Suzete.exe famous.exe 有名人rape.exe leather.exe sex.exe sexy.exe hot.exe hottest.exe cum.exe cumshot.exe horny.exe anal.exe gay.exe oral.exe pleasure.exe asian.exe lesbians.exe teens.exe virgins.exe boys.exe girls.exe SM.exe sado.exe cheerleader.exe orgy.exe black.exe blonde.exe sodomized.exe hardcore.exe slut.exe doggy.exe suck.exe messy.exe kinky.exe fist-fucking.exe amateurs.exe 添付ファイル名は、ランダムな8バイトの.EXE名でもかまいません。例： ADELHHAD.EXE CFIMMHAG.EXE DIEOPIDI.EXE EABLLNEA.EXE FKPODKFK.EXE HJEOINHJ.EXE OGNNFEOG.EXE PFFCKEPF.EXE
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Hybris

技術的な詳細

感染したWSOCK32.DLL

プラグイン