本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Puron

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染した電子メールを介して感染し、コンピュータ上のWindows EXEファイルに感染するウイルスワームです。ワームのルーチンにはバグがあり、場合によっては、感染している間にコンピュータを停止させたり、ファイルを破損したりすることがあります。

ワームコードには、 "著作権"テキスト文字列があります:

(c)ヴェクナ
Vecnaは今、パンクロッカーです…

感染ファイルの実行

ワームは、ローカルネットワークや実行された感染ファイルから感染した電子メールを介してコンピュータに侵入する可能性があります。

ワームが起動すると、感染したファイルから "メイン"コード( "純粋な"ウイルスコード-Win32 PE EXEファイルサイズ9.5KB)を抽出し、ランダムに選択した名前でWindows TEMPディレクトリに保存します、LNBAMKON.EXE、MMCAAHAN.EXE)、そのファイルを実行します。

ウイルスの「メイン」コードが制御を受けると、レジストリキーで参照されているWindowsディレクトリにファイルが移動します。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerシェルフォルダ
共通スタートアップ=%startup%

%startup%ディレクトリ名は、Windowsのバージョンによって異なります。たとえば、次のようになります。

ドキュメントと設定すべてのユーザースタートメニュープログラムスタートアップ
%WindowsDir%すべてのユーザースタートMenuProgramsStartup

ワームは、%startup%ディレクトリに移動します。このディレクトリには、ランダムに選択された8桁の数字と.EXE拡張子が含まれています。

00544102.EXE
17060133.EXE
37154273.EXE

その後、ワームは "スタートアップ"ディレクトリでそのコピーを実行し、Windows TEMPディレクトリの最初のコピーを削除します。

C:VIRUS.EXE – 感染ファイルが実行されています
C:WINDOWSTEMPMMCAAHAN.EXE – 最初のコピーが作成され、実行されます。
C:WINDOWSすべてのユーザースタートメニュープログラムスタートアップ0544102.EXE – これは2番目のコピーで、ここに作成されて実行されます。最初のコピーが削除されます。

バグのために、このプロセスの途中でワームがクラッシュし、第1のコピーがTEMPディレクトリに残されることがあります。

この "ファイル移動"プロセスが完了すると、ワームは "ステルス"フックをインストールし、感染と電子メールの配布ルーチンを実行します。

感染

すべてのローカルおよびネットワークドライブ上の.EXEおよび.SCR Windows実行可能ファイルを検索し、感染させる感染ルーチン。感染中、ファイル中央からブロックを取得し、圧縮し、圧縮データとワームコードをファイルに保存して、ファイルの長さが増加しないようにします。

ワームは多形突然変異エンジンも使用して、検出と駆除プロセスをより複雑にします。

電子メールの広がり

ワームは、自身を広めるために、SMTPメールサーバに接続し、感染したメッセージを電子メールアドレスに送信します。ワームは、SMTPサーバー名と電子メールアドレスの両方で、WABデータファイル(Windowsアドレス帳)から取得します。

感染したメッセージはHTML形式で、フィールドを持っています:

投稿者 "Mondo bizarro" [mourning@obituary.org]
件名:ジョーイは死んでいる、男… 🙁
テキスト: Joey Ramone(1951-2001)への賛辞
添付: ramones.mp3.exe

ワームは、2001年にMS Windowsで発見されたセキュリティ脆弱性(脆弱性識別子:CAN-2001-0154)の1つを使用します。この違反の結果、ユーザーの操作なしで添付ファイルEXEを生成する可能性があります。感染した電子メールが閲覧またはプレビュー用に開かれると、ワームのEXEファイルが自動的に実行されます。

マイクロソフトは既にこの脆弱性を排除するパッチをリリースしました。追加情報は、次のWebサイトを参照してください。http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ステルス

ワームは、FindFileおよびFindProcess Windowsシステムコール(FindFirstFileA、FindNextFileA、Process32First、Process32Next)をフックします。ワームはこれらの呼び出しを処理して、 "startup"ディレクトリ(上記を参照)のコピーを報告しません。その結果、ワームファイルはファイルやプロセスリストには表示されません。


オリジナルへのリンク