Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、感染した電子メールを介して感染し、コンピュータ上のWindows EXEファイルに感染するウイルスワームです。ワームのルーチンにはバグがあり、場合によっては、感染している間にコンピュータを停止させたり、ファイルを破損したりすることがあります。

ワームコードには、 "著作権"テキスト文字列があります：

（c）ヴェクナ
Vecnaは今、パンクロッカーです…

感染ファイルの実行

ワームは、ローカルネットワークや実行された感染ファイルから感染した電子メールを介してコンピュータに侵入する可能性があります。

ワームが起動すると、感染したファイルから "メイン"コード（ "純粋な"ウイルスコード-Win32 PE EXEファイルサイズ9.5KB）を抽出し、ランダムに選択した名前でWindows TEMPディレクトリに保存します、LNBAMKON.EXE、MMCAAHAN.EXE）、そのファイルを実行します。

ウイルスの「メイン」コードが制御を受けると、レジストリキーで参照されているWindowsディレクトリにファイルが移動します。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerシェルフォルダ
共通スタートアップ=％startup％

％startup％ディレクトリ名は、Windowsのバージョンによって異なります。たとえば、次のようになります。

ドキュメントと設定すべてのユーザースタートメニュープログラムスタートアップ
％WindowsDir％すべてのユーザースタートMenuProgramsStartup

ワームは、％startup％ディレクトリに移動します。このディレクトリには、ランダムに選択された8桁の数字と.EXE拡張子が含まれています。

00544102.EXE
17060133.EXE
37154273.EXE

その後、ワームは "スタートアップ"ディレクトリでそのコピーを実行し、Windows TEMPディレクトリの最初のコピーを削除します。

C：VIRUS.EXE – 感染ファイルが実行されています
C：WINDOWSTEMPMMCAAHAN.EXE – 最初のコピーが作成され、実行されます。
C：WINDOWSすべてのユーザースタートメニュープログラムスタートアップ0544102.EXE – これは2番目のコピーで、ここに作成されて実行されます。最初のコピーが削除されます。

バグのために、このプロセスの途中でワームがクラッシュし、第1のコピーがTEMPディレクトリに残されることがあります。

この "ファイル移動"プロセスが完了すると、ワームは "ステルス"フックをインストールし、感染と電子メールの配布ルーチンを実行します。

感染

すべてのローカルおよびネットワークドライブ上の.EXEおよび.SCR Windows実行可能ファイルを検索し、感染させる感染ルーチン。感染中、ファイル中央からブロックを取得し、圧縮し、圧縮データとワームコードをファイルに保存して、ファイルの長さが増加しないようにします。

ワームは多形突然変異エンジンも使用して、検出と駆除プロセスをより複雑にします。

電子メールの広がり

ワームは、自身を広めるために、SMTPメールサーバに接続し、感染したメッセージを電子メールアドレスに送信します。ワームは、SMTPサーバー名と電子メールアドレスの両方で、WABデータファイル（Windowsアドレス帳）から取得します。

感染したメッセージはHTML形式で、フィールドを持っています：

投稿者： "Mondo bizarro" [mourning@obituary.org]
件名：ジョーイは死んでいる、男… 🙁
テキスト： Joey Ramone（1951-2001）への賛辞
添付： ramones.mp3.exe

ワームは、2001年にMS Windowsで発見されたセキュリティ脆弱性（脆弱性識別子：CAN-2001-0154）の1つを使用します。この違反の結果、ユーザーの操作なしで添付ファイルEXEを生成する可能性があります。感染した電子メールが閲覧またはプレビュー用に開かれると、ワームのEXEファイルが自動的に実行されます。

マイクロソフトは既にこの脆弱性を排除するパッチをリリースしました。追加情報は、次のWebサイトを参照してください。http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ステルス

ワームは、FindFileおよびFindProcess Windowsシステムコール（FindFirstFileA、FindNextFileA、Process32First、Process32Next）をフックします。ワームはこれらの呼び出しを処理して、 "startup"ディレクトリ（上記を参照）のコピーを報告しません。その結果、ワームファイルはファイルやプロセスリストには表示されません。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、感染した電子メールを介して感染し、コンピュータ上のWindows EXEファイルに感染するウイルスワームです。ワームのルーチンにはバグがあり、場合によっては、感染している間にコンピュータを停止させたり、ファイルを破損したりすることがあります。ワームコードには、 "著作権"テキスト文字列があります：（c）ヴェクナ Vecnaは今、パンクロッカーです… 感染ファイルの実行ワームは、ローカルネットワークや実行された感染ファイルから感染した電子メールを介してコンピュータに侵入する可能性があります。ワームが起動すると、感染したファイルから "メイン"コード（ "純粋な"ウイルスコード-Win32 PE EXEファイルサイズ9.5KB）を抽出し、ランダムに選択した名前でWindows TEMPディレクトリに保存します、LNBAMKON.EXE、MMCAAHAN.EXE）、そのファイルを実行します。ウイルスの「メイン」コードが制御を受けると、レジストリキーで参照されているWindowsディレクトリにファイルが移動します。 HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerシェルフォルダ共通スタートアップ=％startup％％startup％ディレクトリ名は、Windowsのバージョンによって異なります。たとえば、次のようになります。ドキュメントと設定すべてのユーザースタートメニュープログラムスタートアップ％WindowsDir％すべてのユーザースタートMenuProgramsStartup ワームは、％startup％ディレクトリに移動します。このディレクトリには、ランダムに選択された8桁の数字と.EXE拡張子が含まれています。 00544102.EXE 17060133.EXE 37154273.EXE その後、ワームは "スタートアップ"ディレクトリでそのコピーを実行し、Windows TEMPディレクトリの最初のコピーを削除します。 C：VIRUS.EXE – 感染ファイルが実行されています C：WINDOWSTEMPMMCAAHAN.EXE – 最初のコピーが作成され、実行されます。 C：WINDOWSすべてのユーザースタートメニュープログラムスタートアップ0544102.EXE – これは2番目のコピーで、ここに作成されて実行されます。最初のコピーが削除されます。バグのために、このプロセスの途中でワームがクラッシュし、第1のコピーがTEMPディレクトリに残されることがあります。この "ファイル移動"プロセスが完了すると、ワームは "ステルス"フックをインストールし、感染と電子メールの配布ルーチンを実行します。感染すべてのローカルおよびネットワークドライブ上の.EXEおよび.SCR Windows実行可能ファイルを検索し、感染させる感染ルーチン。感染中、ファイル中央からブロックを取得し、圧縮し、圧縮データとワームコードをファイルに保存して、ファイルの長さが増加しないようにします。ワームは多形突然変異エンジンも使用して、検出と駆除プロセスをより複雑にします。電子メールの広がりワームは、自身を広めるために、SMTPメールサーバに接続し、感染したメッセージを電子メールアドレスに送信します。ワームは、SMTPサーバー名と電子メールアドレスの両方で、WABデータファイル（Windowsアドレス帳）から取得します。感染したメッセージはHTML形式で、フィールドを持っています：投稿者： "Mondo bizarro" [mourning@obituary.org] 件名：ジョーイは死んでいる、男… 🙁 テキスト： Joey Ramone（1951-2001）への賛辞添付： ramones.mp3.exe ワームは、2001年にMS Windowsで発見されたセキュリティ脆弱性（脆弱性識別子：CAN-2001-0154）の1つを使用します。この違反の結果、ユーザーの操作なしで添付ファイルEXEを生成する可能性があります。感染した電子メールが閲覧またはプレビュー用に開かれると、ワームのEXEファイルが自動的に実行されます。マイクロソフトは既にこの脆弱性を排除するパッチをリリースしました。追加情報は、次のWebサイトを参照してください。http://www.microsoft.com/technet/security/bulletin/MS01-020.asp ステルスワームは、FindFileおよびFindProcess Windowsシステムコール（FindFirstFileA、FindNextFileA、Process32First、Process32Next）をフックします。ワームはこれらの呼び出しを処理して、 "startup"ディレクトリ（上記を参照）のコピーを報告しません。その結果、ワームファイルはファイルやプロセスリストには表示されません。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Puron

技術的な詳細

感染ファイルの実行

感染

電子メールの広がり

ステルス