親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これはWin32システムで広まっているウイルスワームです。このウイルスは、Win32実行可能ファイルに感染し、感染した添付ファイルで電子メールメッセージを送信しようとします。また、影響を受けるシステム上で「プラグイン」をダウンロードして生成するバックドアコンポーネントをインストールします。ワームは、2000年9月〜10月に世界的な流行を引き起こしました。
このウイルスは珍しい構造をしています。スタンドアロンプログラム(ウイルス、電子メールワーム、バックドア)として実行される3つの異なるコンポーネントで構成されています。このウイルスは主なコンポーネントであり、ワームとバックドアプログラムは圧縮された形でコード内に保持されます。システムに感染すると、ウイルスはそれらを抽出して生成します。
ウイルス構造
�=============== - virusウイルス� - >は、システムにWormとBackdoorをインストールし、 �インストール�はWin32実行可能ファイルを見つけて感染させます �と感染 �ルーチン� �--------------- �ワームコード� - >がファイルに展開され、スタンドアロンプログラムとして実行されます �(圧縮)� �--------------- �バックドアコード� - >がファイルに展開され、スタンドアロンプログラムとして実行されます �(圧縮する) L =============== -
感染したEXEファイル
�=============== - �ファイルコード �とデータ �� �===============� �ウイルスコード: �--------------- ��インストール ��と感染 �+ ------------- + ��ワーム �+ ------------- + ��バックドア �L-------------- L =============== -
ワームコードには、感染した電子メールメッセージの添付ファイルとして送信される、システムに感染するための必要なルーチンがすべて含まれているわけではありません(下記参照)。ワームは、ウイルスコンポーネントから "ヘルプ"を必要とし、ウイルスに感染して送信されます(ワームファイルはウイルスによって通常のファイルとして感染して送信されます)。そのような方法の理由は不明であるが、おそらくコンポーネントは異なる人々によって書かれている。
Virusコンポーネントには、次のテキスト文字列が含まれています。
SABI�.bViRuS
[MATRiX] VX Teamが提供するソフトウェア:Ultras、Mort、Nbk、LOrd DArk、Del_Armg0、Anaktos
Greetz:#virusとVecnaのすべてのVX男
で私たちを訪問:
http://www.coderz.net/matrix
ワームコンポーネントには、次のテキスト文字列が含まれています。
[MATRiX] VXチームが提供するソフトウェア:
ウルトラ、モート、Nbk、LOrd DArk、Del_Armg0、Anaktos
グレッツ:
#VirusチャンネルとVecnaのすべてのVX男
訪問:www.coderz.net/matrix
バックドアには次のテキストが含まれています。
[MATRiX]チームが提供するソフトウェア:
ウルトラ、モート、Nbk、LOrd DArk、Del_Armg0、Anaktos
グレッツ:
Vecna 4ソースコードとアイデア
ウイルスコンポーネント
このウイルスは、ファイルに感染する際に「Entry Point Obscuring」テクノロジを使用します。つまり、ウイルスはそのエントリーコードでファイルに影響を与えませんが、ファイルコードセクションの途中に "Jump Virus"命令を置き、検出と駆除手順をより複雑にします。結果として、対応する影響を受けたプログラムのブランチが制御を受け取った場合にのみ、ウイルスがアクティブになります。
ウイルスは暗号化されているため、まずコードが制御権を得たときに自身を復号化します。その後、ウィルスは、Win32カーネルをスキャンして、必要なWin32 API関数を探します。これを行うために、ウイルスはWin9x、WinNTおよびWin2000アドレスを試します。
このウイルスは、システム内でアクティブなウイルス対策プログラムを検索し、いずれかが検出された場合に終了します。ウイルスが注意を払うウイルス対策プログラムの一覧は、次のようになります。
AntiViral Toolkit Pro
AVPモニター
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
McAfee VirusScan Central
次に、ウイルスはそのコンポーネントをシステムにインストールします。それらは解凍されてWindowsディレクトリにインストールされ、次に生成されます。 3つのファイルが作成され、隠し属性セットと以下の名前があります。
IE_PACK.EXE - 純粋なワームコード
WIN32.DLL - ウイルスに感染したワームコード(上記の "感染ファイル"として)
MTX_.EXE - バックドアコード
ウイルスは、Win32実行可能なPE EXEファイルを現在、一時、およびWindowsディレクトリに感染させて終了します。
ワーム
感染したメッセージを送信するために、このワームは「ハッピー」インターネットワーム(別名Happy99、SKA)に初めて発見された技術を使用しています。
このワームは、WindowsシステムディレクトリのWSOCK32.DLLファイルに影響します。コードの構成要素をファイルの末尾に追加し、WSOCK32.DLLルーチンを「送信」します。その結果、ワームは影響を受けるコンピュータからインターネットに送信されるすべてのデータを監視します。
通常、WSOCK32.DLLファイルはワームの起動時に使用されており、書き込み用にロックされています。これを回避するために、ワームはWSOCK32.MTX名で元のWSOCK32.DLLのコピーを作成し、そのコピーに影響を与え、WININIT.INIファイルに "元のファイルを感染ファイルに置き換える"
NUL = C:WINDOWSSYSTEMWSOCK32.DLL
C:WINDOWSSYSTEMWSOCK32.DLL = D:WINDOWSSYSTEMWSOCK32.MTX
「C:WINDOWSSYSTEM」はWindowsのシステムディレクトリの名前で、インストールされているWindowsディレクトリの名前によって異なる場合があります。
次の再起動時に、感染したWSOCK32が元のウイルスを置き換え、感染したマシンから送信されたデータにアクセスします。ワームは、訪問されたインターネットサイト(Web、ftp)とコンピュータから送信された電子メールメッセージに注意を払います。
このウイルスの非常に目に見える動作は、複数のインターネットサイトを訪問する機能を阻止するとともに、同じドメイン(アンチウィルスドメイン名)にメッセージを送信する機能を無効にするためです。ウイルスは、以下のように4文字の組み合わせで検出します。
nii。
ナイ。
avp。
f-se
マープル
パン
洗練
ndmi
料金
イェン
リワ
tbav
イマン
ワームは、これらのドメインへの電子メールメッセージの送信も許可しません。
wildlist.o *
il.esafe.c *
完璧な*
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
アースリンク*
inexar.com *
comkom.co。*
瞑想。*
mabex.com *
cellco.com *
symantec.c *
成功*
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
トレンドマイクロ*
sophos.com *
maple.com。*
netsales.n *
f-secure.c *
ワームは、送信された電子メールメッセージを傍受し、感染した添付ファイルを含む重複したメッセージを同じアドレスに送信しようとします(「ハッピー」ワームと同じです)。結果として、犠牲者アドレスは2つのメッセージを受け取るはずです。最初は、送信者によって書き込まれた元のメッセージです。次に、空の件名とテキスト、および現在の日付に応じてワームによって選択された名前の1つを持つ添付ファイルを含むメッセージが表示されます。
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
添付ファイルとして、ワームはウイルスコンポーネントによって削除されたWIN32.DLLファイルを使用します。
注意:ワームはWIN32.DLLファイルを削除しませんが、そのファイルを使用して送信されたメッセージに添付します。したがって、「純粋なワーム」は1回以上感染することはできません。被害者マシンで実行されると、ワームはWSOCK32.DLLに感染しますが、そのコピーをさらに送信することはできません。ワームは、この問題を「修正する」ために、感染したコピーを送信します(WIN32.DLLはウイルスコンポーネントに感染したワームコンポーネントです、上記参照)。
既知のワームの改変には、その普及過程にバグがあり、多くの場合、感染したマシンから影響を受けるメッセージを受信できない場合があります。それにもかかわらず、システムにダイヤルアップ接続がある場合、またはメールサーバーが十分に速い場合、ワームは問題なくコピーを送信します。
バックドア
実行中、Backdoorコンポーネントは、マシンがすでに感染していることを示す新しいレジストリキーをシステムレジストリに作成します。
HKLMSoftware [MATRIX]
このキーが存在する場合、バックドアはインストール手順をスキップします。それ以外の場合は、自動実行セクションに自身を登録します。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =%WinDir%MTX_.EXE
%WinDir%はWindowsディレクトリです。
バックドアは、隠されたアプリケーション(サービス)としてWindowsでアクティブのままで、一部のインターネットサーバーに接続し、そこからファイルを取得し、システムにそれらを生成するルーチンを実行します。そのため、バックドアはシステムに他のウイルスを感染させたり、トロイの木馬プログラムやより機能的なバックドアをインストールすることができます。
既知のウイルスバージョンのこのコンポーネントには、バックドアがインターネットサイトにアクセスしようとしたときに、アプリケーションのエラーに関するWindowsメッセージを標準で発生させるバグもあります。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com