Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、感染したコンピュータから感染したメッセージを送信する電子メール経由で広がるインターネットワームです。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。

ワーム自体は、VisualBasicで書かれたWin32アプリケーションです。ワームのコードは"I-Worm.LoveLetter" VBSワーム（ワームのルーチンとその名前は "Loveletter"のものと非常に似ています）に基づいているようですが、このワームは "Loveletter" VBSソースVisualBasic言語に変換する。

実行時（ユーザーが添付の感染ファイルをクリックした場合）、ワームは電子メールでそのコピーを送信し、自身をシステムにインストールし、破壊的な操作を実行します。

ワームは、それ自体がワーム自身のEXEファイルを添付した電子メールメッセージとして送信します。

メッセージは次のように表示されます。

テーマ：私の赤ちゃんの写真!!!
メッセージ本文：その私のアニメーションの赤ちゃんの画像！
添付ファイル名： mybabypic.exe

ワームはMS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します。メッセージの件名、本文、添付ファイル名は上記と同じです。

ワームは、自身をシステムにインストールします。 Windowsシステムディレクトリに次の名前でそのコピーを作成します。

WINKERNEL32.EXE、MYBABYPIC.EXE、WIN32DLL.EXE、CMD.EXE、COMMAND.EXE

システムレジストリのWindows自動実行セクションに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic =％WinSystem％mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 =％WinSystem％WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices =％WinSystem％Win32DLL.exe

％WinSystem％はWindowsのシステムディレクトリです。その結果、Windowsが起動するたびにワームは再起動されます。

ワームは、以下のレジストリキーも作成します。

HKCUSoftwareBugger
デフォルト= HACK [2K]
mailed =％number％

ここで、％number％は0から3までの数字で、ワームが現在実行している、または終了しているプロセスに依存します：ペイロードルーチンのインストール、展開、アクティブ化。

ペイロードルーチンはかなり大きいです。システムの日付と時刻に応じて、ワームは：

NumLock、CapLock、ScrollLockキーのオン/オフを切り替える
キーボードバッファに次のメッセージを送ります：

.IM_BESIDES_YOU_
http://www.youvebeenhack.comサイトに接続し、そこにテキストの1つを送信します。

バグから
BUGGERからの幸せなバレンタイン
BUGGERからHAPPY HALLOWEENまで

ワームはまた、他のファイルを壊したり、影響を与えます。使用可能なすべてのドライブのサブディレクトリツリーをスキャンし、そこにすべてのファイルをリストし、ファイル名の拡張子に応じて、次のいずれかの操作を実行します。

VBS、VBE：これらのファイルの内容を破壊します。

JS、JSE、CSS、WSH、SCT、HTA、PBL、CPP、PAS、C、H：ワームは、元のファイル名に加えて".EXE"拡張子を持つ新しいファイルを作成し、コピーして体をし、その後、削除します元のファイル。つまり、これらのファイルをコードで上書きし、ann EXE拡張子で名前を変更します。たとえば、 "TEST.CPP"は "TEST.EXE"になります。

JPG、JPEG：ワームは上記と同じですが、完全なファイル名に ".EXE"拡張子を付け加えます（ ".EXE"に名前を変更しません）。たとえば、「PIC1.JPG」は「PIC1.JPG.EXE」になります。

MP2、MP3、M3U：ワームは ".EXE"拡張子（ "SONG.MP2"の場合、 "SONG.MP2.EXE"ファイルを作成する）を持つ新しいファイルを作成し、そこにコードを書き込み、ファイルを設定します元のファイルの属性「hidden」。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、感染したコンピュータから感染したメッセージを送信する電子メール経由で広がるインターネットワームです。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。ワーム自体は、VisualBasicで書かれたWin32アプリケーションです。ワームのコードは"I-Worm.LoveLetter" VBSワーム（ワームのルーチンとその名前は "Loveletter"のものと非常に似ています）に基づいているようですが、このワームは "Loveletter" VBSソースVisualBasic言語に変換する。実行時（ユーザーが添付の感染ファイルをクリックした場合）、ワームは電子メールでそのコピーを送信し、自身をシステムにインストールし、破壊的な操作を実行します。ワームは、それ自体がワーム自身のEXEファイルを添付した電子メールメッセージとして送信します。メッセージは次のように表示されます。テーマ：私の赤ちゃんの写真!!! メッセージ本文：その私のアニメーションの赤ちゃんの画像！添付ファイル名： mybabypic.exe ワームはMS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します。メッセージの件名、本文、添付ファイル名は上記と同じです。ワームは、自身をシステムにインストールします。 Windowsシステムディレクトリに次の名前でそのコピーを作成します。 WINKERNEL32.EXE、MYBABYPIC.EXE、WIN32DLL.EXE、CMD.EXE、COMMAND.EXE システムレジストリのWindows自動実行セクションに登録します。 HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic =％WinSystem％mybabypic.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 =％WinSystem％WINKernel32.exe HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices =％WinSystem％Win32DLL.exe ％WinSystem％はWindowsのシステムディレクトリです。その結果、Windowsが起動するたびにワームは再起動されます。ワームは、以下のレジストリキーも作成します。 HKCUSoftwareBugger デフォルト= HACK [2K] mailed =％number％ここで、％number％は0から3までの数字で、ワームが現在実行している、または終了しているプロセスに依存します：ペイロードルーチンのインストール、展開、アクティブ化。ペイロードルーチンはかなり大きいです。システムの日付と時刻に応じて、ワームは： NumLock、CapLock、ScrollLockキーのオン/オフを切り替えるキーボードバッファに次のメッセージを送ります： .IM_BESIDES_YOU_ http://www.youvebeenhack.comサイトに接続し、そこにテキストの1つを送信します。バグから BUGGERからの幸せなバレンタイン BUGGERからHAPPY HALLOWEENまでワームはまた、他のファイルを壊したり、影響を与えます。使用可能なすべてのドライブのサブディレクトリツリーをスキャンし、そこにすべてのファイルをリストし、ファイル名の拡張子に応じて、次のいずれかの操作を実行します。 VBS、VBE：これらのファイルの内容を破壊します。 JS、JSE、CSS、WSH、SCT、HTA、PBL、CPP、PAS、C、H：ワームは、元のファイル名に加えて".EXE"拡張子を持つ新しいファイルを作成し、コピーして体をし、その後、削除します元のファイル。つまり、これらのファイルをコードで上書きし、ann EXE拡張子で名前を変更します。たとえば、 "TEST.CPP"は "TEST.EXE"になります。 JPG、JPEG：ワームは上記と同じですが、完全なファイル名に ".EXE"拡張子を付け加えます（ ".EXE"に名前を変更しません）。たとえば、「PIC1.JPG」は「PIC1.JPG.EXE」になります。 MP2、MP3、M3U：ワームは ".EXE"拡張子（ "SONG.MP2"の場合、 "SONG.MP2.EXE"ファイルを作成する）を持つ新しいファイルを作成し、そこにコードを書き込み、ファイルを設定します元のファイルの属性「hidden」。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Myba

技術的な詳細