Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体は約57KbのWindows PE EXEファイルで、Visual Basic Scriptで書かれています。

感染したメッセージには、以下の亜種からランダムに選択された異なる件名、本文、および添付ファイル名が含まれています。

科目：

非常に特別なもの
あなたがこれを好きになることはわかっている
はい、あなたと共有できるもの
あなたがこれを見るまで待ってください！
真新しいゲーム！あなたが楽しんでくれることを望みます

本文（1行のテキスト）：

ちょっと、添付ファイルを見てください。あなたがそれを開いたときにあなたの目を信じません！
あなたはQuakeのようなゲームが好きですか？あなたはこれを楽しむでしょう。
私の写真と私のバッテリーがボーイフレンドで運営されているのを見ましたか？

同様に（複数行のテキスト）：

私の親友、
これはあなたが見なければならないものです！
次回まで

インターネットは安全ですか？
見てみな

添付ファイル：

感染ファイルの実行

ワームは、ユーザーが添付ファイルをクリックしたときにのみ、感染した電子メールからアクティブになり、以下を表示します。

同時に、ワームは自身をシステムにインストールします。 [次へ]ボタンが押された場合、何も起こりません（システムへのワームのコピーのインストールを除く）、ワームのアプリケーションは単に終了します。 [キャンセル]ボタンを押すと、ワームは電子メールの配布ルーチンを開始します。

インストール

ワームは、システムにインストールする際に、新しいディレクトリC：EIRAMを作成し、以下の名前を使用して自身をコピーします。

c：eiramquake4demo.exe
f：quake4demo.exe（このドライブが存在する場合）

これらのファイルをレジストリの自動実行キーに登録します。

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
"quake" = "c：eiramquake4demo.exe"
"Q4" = "f：quake4demo.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Q4" = "c： eiramquake4demo.exe"
"quake" = "f：quake4demo.exe"

その後、電子メールメッセージを送信している間に、ワームはWindowsディレクトリにそのコピーをさらに作成します。

honey.exe
quake4demo.exe
setup.exe

広がる

電子メールの配布ルーチンは、ユーザーがメッセージボックスの[キャンセル]ボタン（上記参照）を押した場合にのみ有効になります。

ワームは、感染したメッセージを送信するために、MS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

ペイロード

* .exe、* .xls、* .doc、* .mdb、* .htm、* .html、* .txt、* .ocxおよび以下のファイルを検索してペイロードルーチンを起動します。それらを次のテキストで上書きします。

あなたはファイルを十分に保護していません
これをレッスンにしよう！誰かを信用しない
eiram 1999-2001

オリジナルへのリンク

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体は約57KbのWindows PE EXEファイルで、Visual Basic Scriptで書かれています。感染したメッセージには、以下の亜種からランダムに選択された異なる件名、本文、および添付ファイル名が含まれています。科目：非常に特別なものあなたがこれを好きになることはわかっているはい、あなたと共有できるものあなたがこれを見るまで待ってください！真新しいゲーム！あなたが楽しんでくれることを望みます本文（1行のテキスト）：ちょっと、添付ファイルを見てください。あなたがそれを開いたときにあなたの目を信じません！あなたはQuakeのようなゲームが好きですか？あなたはこれを楽しむでしょう。私の写真と私のバッテリーがボーイフレンドで運営されているのを見ましたか？同様に（複数行のテキスト）：私の親友、これはあなたが見なければならないものです！次回までインターネットは安全ですか？見てみな添付ファイル：感染ファイルの実行ワームは、ユーザーが添付ファイルをクリックしたときにのみ、感染した電子メールからアクティブになり、以下を表示します。同時に、ワームは自身をシステムにインストールします。 [次へ]ボタンが押された場合、何も起こりません（システムへのワームのコピーのインストールを除く）、ワームのアプリケーションは単に終了します。 [キャンセル]ボタンを押すと、ワームは電子メールの配布ルーチンを開始します。インストールワームは、システムにインストールする際に、新しいディレクトリC：EIRAMを作成し、以下の名前を使用して自身をコピーします。 c：eiramquake4demo.exe f：quake4demo.exe（このドライブが存在する場合）これらのファイルをレジストリの自動実行キーに登録します。 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "quake" = "c：eiramquake4demo.exe" "Q4" = "f：quake4demo.exe" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Q4" = "c： eiramquake4demo.exe" "quake" = "f：quake4demo.exe" その後、電子メールメッセージを送信している間に、ワームはWindowsディレクトリにそのコピーをさらに作成します。 honey.exe quake4demo.exe setup.exe 広がる電子メールの配布ルーチンは、ユーザーがメッセージボックスの[キャンセル]ボタン（上記参照）を押した場合にのみ有効になります。ワームは、感染したメッセージを送信するために、MS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。ペイロード * .exe、* .xls、* .doc、* .mdb、* .htm、* .html、* .txt、* .ocxおよび以下のファイルを検索してペイロードルーチンを起動します。それらを次のテキストで上書きします。あなたはファイルを十分に保護していませんこれをレッスンにしよう！誰かを信用しない eiram 1999-2001
	オリジナルへのリンク

Email-Worm.Win32.Quamo

技術的な詳細