Email-Worm.Win32.Runnelot

技術的な詳細

Runnelotは、感染した電子メールへの添付ファイルとしてインターネット経由で広がるワームウイルスです。 Win32 EXEファイルにも感染します。

このワーム自体は、UPXによって圧縮された場合の約9KBのWindows PE EXEファイルです。解凍サイズは約20KBです。これはアセンブラで書かれています。

ワームは "著作権"の文字列を含んでいます：

  ランナー "パイロット" 01/2003

インストール

ワームをインストールすると、そのコードがWindowsシステムディレクトリに "Runner.exe"という名前で書き込まれ、そのファイルがシステムレジストリの自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun   Runner = Runner.exe / auto /rsrc32.dll

EXEファイルへの感染

ワームはPE EXEファイルを探し、これらのファイルの先頭に自身を書き込みます。ローカルとネットワークのハードドライブにあるディレクトリ内の被害者EXEファイルを探します。

プログラムをホストするように制御を解除するため、ワームは駆除されたコピーをディスク上に作成し、それを生成します。エラーの場合、ワームは偽のエラーメッセージを表示します：

  WIN32.DLLファイルの読み込み中にエラーが発生しました  不完全な読み込み。正しい仕事は保証されません！  持続する？  KERNEL32.DLLの一般的なエラー1452  プログラム終了

広がり：EMail

ワームは、感染したメッセージを送信するために、デフォルトのSMTPサーバーに直接アクセスします。ワームは犠牲者の電子メールアドレスを取得するために、* .HTM *ファイルを探し、これらの電子メールアドレスをWindowsシステムディレクトリの "runner.dll"ファイルに書き込みます。

感染したメッセージには、複数の亜種からランダムに構成された異なるフィールドがあります。

投稿者： "％str1 %% str2％"

次の文字列はランダムに選択されます：

ドミトリー・ユージーン・イゴール・ジョン、マーク・ビル・フランク・サム、ティム・ブラッド・サミュエル・ディーン、トム・ロバート・モストヴォイ、ロスインスキー・カスパルスキー、ダニロフ・スミス、ウッドルーフ・ブラウン・スチール・ドライバー、セルドン・フォージ・スタブ、マクンドリュー・グレゴール

％str2 "：@ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru

件名：％subj1％％subj2％

 ここで： ％subj1％：    Weclome to Pink World   ブラック・オン・ブロンドズ   毎日新しいポルノ映画   ポルノ映画のトン   ファック・ウィフス ％subj1％：   新しい無料セックスソフト   無料ポルノソフト   +多くの無料セックスゲーム

本文はランダムに選択されたテキスト文字列からランダムに構築されます：

   スーパーゲーム！ +ファイン+ブロンド           SEX SOFT！ +ホットママ                                         ブラックヒッチキュアーティーン                              汚い女の子                                        アマチュア女                                        小柄なベイビー                                        巨乳の十代                                        ウェットセクレタリー                                   野生の妻             これは無料のデモ版です。私たちのウェブサイト+   私たちのウェブサイト+ +   WWW.EXPLOITEDPUSSY.COM   WWW.SLEAZYDREAM.COM   WWW.ALLHOTPORN.COM   WWW.TEENFILES.NET   WWW.ADULTMOVIESTATION.NET   WWW.DISCRETESEX.COM +   より多くのセックスプログラムを取る   フルバージョンを取る   150のダウンロード可能な映画 - 無料のパスワード   高品質のMPEGS  - 毎日新しいシーン -  100k + PICS TOO   フルレングス映画   オンラインでのベストムービー   以前の映画の巨大なアーカイブが利用可能！映画のトン +   フルスクリーン品質   超高速ダウンロード   毎日更新される   DVDのすべての品質   WEBMASTERSはお金を稼ぐ   30分間無料でメンバーエリアにアクセスできます - 無料   30分無料アクセスをご利用ください   毎日新しい150メガバイトのフルレングス映画が追加されます +   今すぐインストール！！！   インストーラを添付   私たちのソフトを今すぐテストしてください！

または変異体からランダムに選択される：

   私たちはあなたに私たちの新しいセックスゲームをアドバスターとして提示します   私たちのサイトの無料セックスムービーのロケーターを広告としてインストールする   ポルノスクリーンセーバーを広告としてインストールする   これはアドバスターとしての新しい模倣者です

添付ファイル：

   セクシー+ガールズ。 + dll   最も熱いブロンド。      ザーメンパメラ。      analsexレズビアン。    oralsex十代。       アジアの処女。     ハードコア。   ふしだらな女   犬   吸う   厄介な

ペイロード

ワームは、2月13日、3月7日、16日、4月21日、5月8日、18日、6月11日、7月3日、8月29日、10月30日、11月5,26日、12月11日30日に、 My Documents "、" History "、" Cookies "など）。