親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、インターネットを介して感染した電子メールに広がる危険なワームです。ワーム自体は、Delphiで書かれたWindowsアプリケーションで、サイズは約370Kです。
(添付ファイルをクリックするなどして)実行すると、システムにインストールされ、サービスプロセス(隠されたアプリケーション)として登録され、感染したメッセージ(添付されたコピー付き)を送信し、システムに応じてペイロードルーチンを実行します。
システムへのインストール
ワームは、以下の亜種から無作為に選ばれた名前でWindowsシステムディレクトリに自分自身をコピーします。
Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe
そのファイルをレジストリの自動実行キーに登録します。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =%filename%
電子メールの広がり
ワームは、上記のように任意の名前の添付ファイルとして感染マシンから自分自身を送信します。件名とメッセージ本文は以下の亜種からランダムに選択されます。
科目:
Sorpresa !!!
エステ・シエ・クス・エ・ブン・プレゼンツ
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
ブエナ・ペクロナリダード
Con todo mi aprecio
スカルピオンEl Aguijon de Scorpion
トラセロス
ムジェール
メッセージ本文:
アブレロsin miedo que、no ningunウイルス
いいえtiene ningunウイルス
アブレロの乾草ペリグロ
ミラ・キュー・ブエノ・エスタ・エスト
Espero que esto te guste
スコーピオン・ヘイス・デ・ラス・スヤス
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
ティエーニウイルス、アジ・ケン・アブランロ・イ・ディスフルテン
エル・グラン・パス・オブ・ラス・ミュジェールとトランセラー
感染したメッセージを送信するために、ワームはSMTPサーバーに接続します。ワームは、既定のシステム設定からSMTPサーバーの名前を取得します。
被害者の電子メールアドレスは、WABファイル(Windowsアドレス帳)から取得されます。メッセージは毎回次のときに送信されます。
jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar
ワームは最初の起動時にすぐに電子メールを送信し、内部の時間カウンターに応じて時間間隔で電子メールを送信します。
ペイロードなど
ワームは、Windowsがインストールされているドライブ上のすべての* .INFおよび* .SYSファイルを検索して削除します。このため、ほとんどの場合、システムが破壊されます。
9月から毎月15日にかけて、ウイルスは何らかのビデオ効果で動作します。
ワームは、以下のレジストリキーも作成し、変更します。
HKEY_LOCAL_MACHINESoftwareScorpionHelp
メール=黒人
ファック=ロージョ
これらのキーは、次のことを示します。第1のキー電子メールメッセージはすでに送信されています。 2番目のキー - INIファイルとSYSファイルが削除されました。
ワームは、内部の時間カウンターに応じて、アクティブなすべてのアプリケーションウィンドウを閉じたり、CDドライブをオープン/クローズしたり、Num / Caps / Scroll-lockキーを点滅させたりして500個のメッセージを表示します。
スコーピオンよ、エスティックアクア!!!!
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com