本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Ligon

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これはWin32電子メールワームです。ワームには2つのコンポーネントがあります。

  • メイン:約360Kのサイズで、Delphiで書かれたWin32アプリケーション(PE EXEファイル)。
  • ヘルパー:ローカルネットワーク上にワームを広めるためのVBSスクリプトプログラム。

    メインワームコンポーネントは、電子メールに添付された他のマシンに16個の異なる名前を持つEXEファイルとして自分自身を送信します(以下を参照)。広がりながら、MAPIを使用して電子メールに接続します。

    また、メインコンポーネントは、ローカルディスクにVBSスクリプトヘルパ(ローカルネットワークワーム)を追加し、それを生成します。

    主成分

    感染したファイルが(感染したメッセージや他のソースから起動されると)起動すると、ワームは自身をWindowsディレクトリに "PCpower.exe"でコピーし、Windowsシステムディレクトリに "MyLinong.exe"という名前でコピーします。ワームは、Windowsシステムディレクトリに "MyLinong.VBS"ファイル(VBSヘルパー)をドロップします。

    これらのファイルは、システムレジストリの自動実行キーに登録されます。

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
    PCPower =%windir%PCpower.exe
    MyLinong =%winsystemdir%MyLinong.exe
    Linong =%winsystemdir%MyLinong.vbs

    EXEファイルは2つのワームコピーで、再起動するたびにWindowsによってアクティブになります。 VBSファイルはVisualBasicスクリプトプログラムです(下記参照)。

    広がる

    広がるために、ワームは50個の最初のメッセージについて受信トレイをスキャンし、添付ファイルが少なくとも1つあるメッセージを取得し、感染したメッセージで応答します。感染したメッセージには、件名、本文、添付ファイルが16種類からランダムに選択されています。

    添付ファイル名:

    CFusion.Exe
    PatchFusion.exe
    MyLinong.Exe
    夜のライトアップ
    StarMild.exe
    Kiss.Exe
    Sexy.Exe
    Popeye.exe
    Olive.exe
    BullBull.exe
    Moly.exe
    Lovely.exe
    868879.exe
    help.exe
    BillGate
    Mikropos

    科目:

    CFusionからの情報
    あなたのCFusionにパッチを当てる
    まだ覚えている
    ライト・アップ・ザ・ナイト
    男の選択
    キスして
    セクシーモデル
    ポパイ漫画
    オリーブ&ポパイ
    MyGirlFriend Dogs
    マイガールフレンドの犬
    スウィートラブリー
    パスワード
    助けが必要
    ビル
    Mikropos

    メッセージ本文:

    無料でCfusion Onlineをアップデートすることができます
    あなたはCfusionを修正する準備はできていますか、更新してください
    彼女は私のセクシーなLinongです
    ライトアップザナイトパーティー…
    あなたは男か女ですか?これは私たちのサイトからのスポンサーです。
    あなたのガールフレンドまたはあなたのボーイフレンドにキスをする100の方法
    あなたは彼女のようなセクシーな女の子を見たことがありますか?
    新しいポパイの新しい漫画ネットワーク
    オリーブとポパイ漫画
    いい犬…
    グッドドッグとスマートドッグ
    私のIcq Friend SweetとLovely
    ここヌードパスワードウェブサイトのリスト。それらのすべてがまだアクティブであり、そのうちのいくつかは死のパスワードです
    何か手伝いましょうか ?インターネットでお金を得る。ヘルプを読むことができます
    ビル..
    Mikroposネットワークからの新しいMikroposソフトウェア

    ペイロード

    ワームは以下のディレクトリを作成します。

    "C:Linong私はとても大好きです。

    %nは0〜500の数字です(場合によっては、ディレクトリを作成できないため、ディレクトリ番号の上限は500未満になることがあります)。

    ワームは次のメッセージを表示します。

  • 6月25日:

    私からのメッセージ
    MyLinongにお誕生日おめでとう
    まだ私を覚えています…

  • 7月22日:

    今日私はあなたにもう一度伝えたい
    私は大好きです。
    ちょっとユーザー、私に世界を教えてください助けてください
    それは私が彼女をとても愛すること

  • 11月14日:

    こんにちは..私はあなたを愛しています。
    しかし今日、私たちはGoodByeを永遠に
    私は次の人生でUを待ちます。

    VBSヘルパー

    これは、VBS電子メールワーム「I-Worm.Linong」の変更であり、メインのEXEコンポーネントへのヘルパーとして機能します。

    Windowsで実行すると(レジストリのRun = keyに登録されているため)、ローカルマシンのIPアドレスを取得し、サブネットをスキャンします(たとえば、ローカルマシンのIPが10.10.10.1である場合、ワームは、10.10.10.nというアドレスを使用してすべてのマシンに接続しようとします(nは1から254までの数字です)。

    そのようなアドレスを持つマシンがある場合、ワームはC:ドライブへのアクセスを試み、そこに自分自身をコピーして次のディレクトリにコピーします。

    "C:"
    "C:windowsstartm〜1programsstartup"
    "C:windows"
    "C:windowsstart menuprogramsstartup"

    (このルーチンにはバグがあり、このワームはこれを実行できません)。

    ワームは、感染マシンからEXEコンポーネントを送信しようとします。メッセージには次のものが含まれます。

    件名:このメールの1つ
    ボディ:真実のストーリー….
    添付: mylinong.exe

    (このルーチンにもバグがあり、ワーム自体が広がっていません)。

    このワームは、「I-Worm.Linong」と同様に、以下を実行します。

  • 600個の空のディレクトリを作成します。�:LINONG私のお気に入り%n(%nは1〜600の数字です)
  • 次の名前のコピーを作成します。

    %windows%mylinong.txt.shs
    %windows%SYSTEMKern32Lin.vbs
    %windows%Vbrun32DLL.vbs
    %windows%SYSTEMmylinong.TXT.vbs

  • 存在しないファイルをシステムレジストリに登録します。

    HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Vbrun32DLL =%windows%Win32DLL.vbs

    次に、このワームはHTAファイルを作成して開き、結果としてテキストを表示します。

    わたしは、あなたを愛しています
    Linong
    あなたは私の愛の愛です、5173n1n3ty31gh7
    ほぼ1年..ミス・U
    01 * 29 ** 879
    01 * 29 ** 868
    * – *


  • オリジナルへのリンク