親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
Runnelotは、感染した電子メールへの添付ファイルとしてインターネット経由で広がるワームウイルスです。 Win32 EXEファイルにも感染します。
このワーム自体は、UPXによって圧縮された場合の約9KBのWindows PE EXEファイルです。解凍サイズは約20KBです。これはアセンブラで書かれています。
ワームは "著作権"の文字列を含んでいます:
ランナー "パイロット" 01/2003
インストール
ワームをインストールすると、そのコードがWindowsシステムディレクトリに "Runner.exe"という名前で書き込まれ、そのファイルがシステムレジストリの自動実行キーに登録されます。HKLMSoftwareMicrosoftWindowsCurrentVersionRun Runner = Runner.exe / auto /rsrc32.dll
EXEファイルへの感染
ワームはPE EXEファイルを探し、これらのファイルの先頭に自身を書き込みます。ローカルとネットワークのハードドライブにあるディレクトリ内の被害者EXEファイルを探します。プログラムをホストするように制御を解除するため、ワームは駆除されたコピーをディスク上に作成し、それを生成します。エラーの場合、ワームは偽のエラーメッセージを表示します:
WIN32.DLLファイルの読み込み中にエラーが発生しました 不完全な読み込み。正しい仕事は保証されません! 持続する? KERNEL32.DLLの一般的なエラー1452 プログラム終了
広がり:EMail
ワームは、感染したメッセージを送信するために、デフォルトのSMTPサーバーに直接アクセスします。ワームは犠牲者の電子メールアドレスを取得するために、* .HTM *ファイルを探し、これらの電子メールアドレスをWindowsシステムディレクトリの "runner.dll"ファイルに書き込みます。感染したメッセージには、複数の亜種からランダムに構成された異なるフィールドがあります。
投稿者: "%str1 %% str2%"
次の文字列はランダムに選択されます:
ドミトリー・ユージーン・イゴール・ジョン、マーク・ビル・フランク・サム、ティム・ブラッド・サミュエル・ディーン、トム・ロバート・モストヴォイ、ロスインスキー・カスパルスキー、ダニロフ・スミス、ウッドルーフ・ブラウン・スチール・ドライバー、セルドン・フォージ・スタブ、マクンドリュー・グレゴール
%str2 ":@ hotmail.com @ yandex.ru @ yahoo.com @ newmail.ru
件名:%subj1%%subj2%
ここで: %subj1%: Weclome to Pink World ブラック・オン・ブロンドズ 毎日新しいポルノ映画 ポルノ映画のトン ファック・ウィフス %subj1%: 新しい無料セックスソフト 無料ポルノソフト +多くの無料セックスゲーム
本文はランダムに選択されたテキスト文字列からランダムに構築されます:
スーパーゲーム! +ファイン+ブロンド SEX SOFT! +ホットママ ブラックヒッチキュアーティーン 汚い女の子 アマチュア女 小柄なベイビー 巨乳の十代 ウェットセクレタリー 野生の妻 これは無料のデモ版です。私たちのウェブサイト+ 私たちのウェブサイト+ + WWW.EXPLOITEDPUSSY.COM WWW.SLEAZYDREAM.COM WWW.ALLHOTPORN.COM WWW.TEENFILES.NET WWW.ADULTMOVIESTATION.NET WWW.DISCRETESEX.COM + より多くのセックスプログラムを取る フルバージョンを取る 150のダウンロード可能な映画 - 無料のパスワード 高品質のMPEGS - 毎日新しいシーン - 100k + PICS TOO フルレングス映画 オンラインでのベストムービー 以前の映画の巨大なアーカイブが利用可能!映画のトン + フルスクリーン品質 超高速ダウンロード 毎日更新される DVDのすべての品質 WEBMASTERSはお金を稼ぐ 30分間無料でメンバーエリアにアクセスできます - 無料 30分無料アクセスをご利用ください 毎日新しい150メガバイトのフルレングス映画が追加されます + 今すぐインストール!!! インストーラを添付 私たちのソフトを今すぐテストしてください!
または変異体からランダムに選択される:
私たちはあなたに私たちの新しいセックスゲームをアドバスターとして提示します 私たちのサイトの無料セックスムービーのロケーターを広告としてインストールする ポルノスクリーンセーバーを広告としてインストールする これはアドバスターとしての新しい模倣者です
添付ファイル:
セクシー+ガールズ。 + dll 最も熱いブロンド。 ザーメンパメラ。 analsexレズビアン。 oralsex十代。 アジアの処女。 ハードコア。 ふしだらな女 犬 吸う 厄介な
ペイロード
ワームは、2月13日、3月7日、16日、4月21日、5月8日、18日、6月11日、7月3日、8月29日、10月30日、11月5,26日、12月11日30日に、 My Documents "、" History "、" Cookies "など)。も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!