本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Myba

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染したコンピュータから感染したメッセージを送信する電子メール経由で広がるインターネットワームです。ワームは拡散中にMS Outlookを使用し、MS Outlookアドレス帳に格納されているすべてのアドレスに自身を送信します。

ワーム自体は、VisualBasicで書かれたWin32アプリケーションです。ワームのコードは"I-Worm.LoveLetter" VBSワーム(ワームのルーチンとその名前は "Loveletter"のものと非常に似ています)に基づいているようですが、このワームは "Loveletter" VBSソースVisualBasic言語に変換する。

実行時(ユーザーが添付の感染ファイルをクリックした場合)、ワームは電子メールでそのコピーを送信し、自身をシステムにインストールし、破壊的な操作を実行します。

ワームは、それ自体がワーム自身のEXEファイルを添付した電子メールメッセージとして送信します。

メッセージは次のように表示されます。

テーマ:私の赤ちゃんの写真!!!
メッセージ本文:その私のアニメーションの赤ちゃんの画像!
添付ファイル名: mybabypic.exe

ワームはMS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付されたコピーを含むメッセージをすべてのユーザーに送信します。メッセージの件名、本文、添付ファイル名は上記と同じです。

ワームは、自身をシステムにインストールします。 Windowsシステムディレクトリに次の名前でそのコピーを作成します。

WINKERNEL32.EXE、MYBABYPIC.EXE、WIN32DLL.EXE、CMD.EXE、COMMAND.EXE

システムレジストリのWindows自動実行セクションに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunmybabypic =%WinSystem%mybabypic.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWINKernel32 =%WinSystem%WINKernel32.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices =%WinSystem%Win32DLL.exe

%WinSystem%はWindowsのシステムディレクトリです。その結果、Windowsが起動するたびにワームは再起動されます。

ワームは、以下のレジストリキーも作成します。

HKCUSoftwareBugger
デフォルト= HACK [2K]
mailed =%number%

ここで、%number%は0から3までの数字で、ワームが現在実行している、または終了しているプロセスに依存します:ペイロードルーチンのインストール、展開、アクティブ化。

ペイロードルーチンはかなり大きいです。システムの日付と時刻に応じて、ワームは:

  • NumLock、CapLock、ScrollLockキーのオン/オフを切り替える
  • キーボードバッファに次のメッセージを送ります:

    .IM_BESIDES_YOU_

  • http://www.youvebeenhack.comサイトに接続し、そこにテキストの1つを送信します。

    バグから
    BUGGERからの幸せなバレンタイン
    BUGGERからHAPPY HALLOWEENまで

ワームはまた、他のファイルを壊したり、影響を与えます。使用可能なすべてのドライブのサブディレクトリツリーをスキャンし、そこにすべてのファイルをリストし、ファイル名の拡張子に応じて、次のいずれかの操作を実行します。

VBS、VBE:これらのファイルの内容を破壊します。

JS、JSE、CSS、WSH、SCT、HTA、PBL、CPP、PAS、C、H:ワームは、元のファイル名に加えて".EXE"拡張子を持つ新しいファイルを作成し、コピーして体をし、その後、削除します元のファイル。つまり、これらのファイルをコードで上書きし、ann EXE拡張子で名前を変更します。たとえば、 "TEST.CPP"は "TEST.EXE"になります。

JPG、JPEG:ワームは上記と同じですが、完全なファイル名に ".EXE"拡張子を付け加えます( ".EXE"に名前を変更しません)。たとえば、「PIC1.JPG」は「PIC1.JPG.EXE」になります。

MP2、MP3、M3U:ワームは ".EXE"拡張子( "SONG.MP2"の場合、 "SONG.MP2.EXE"ファイルを作成する)を持つ新しいファイルを作成し、そこにコードを書き込み、ファイルを設定します元のファイルの属性「hidden」。


オリジナルへのリンク