Email-Worm.Win32.Scorpion

技術的な詳細

これは、インターネットを介して感染した電子メールに広がる危険なワームです。ワーム自体は、Delphiで書かれたWindowsアプリケーションで、サイズは約370Kです。

（添付ファイルをクリックするなどして）実行すると、システムにインストールされ、サービスプロセス（隠されたアプリケーション）として登録され、感染したメッセージ（添付されたコピー付き）を送信し、システムに応じてペイロードルーチンを実行します。

システムへのインストール

ワームは、以下の亜種から無作為に選ばれた名前でWindowsシステムディレクトリに自分自身をコピーします。

Play.exe
Bigs as.exe
Zorro.exe
Honey.exe
Jefes.exe
Corte de pelo.exe
Tangas.exe
Canibal.exe
Picadita.exe
Josefina.exe

そのファイルをレジストリの自動実行キーに登録します。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Scorpion =％filename％

電子メールの広がり

ワームは、上記のように任意の名前の添付ファイルとして感染マシンから自分自身を送信します。件名とメッセージ本文は以下の亜種からランダムに選択されます。

科目：

Sorpresa !!!
エステ・シエ・クス・エ・ブン・プレゼンツ
Diviertanse
Todo debe estar limpio
Echale un ojo a esto
ブエナ・ペクロナリダード
Con todo mi aprecio
スカルピオンEl Aguijon de Scorpion
トラセロス
ムジェール

メッセージ本文：

アブレロsin miedo que、no ningunウイルス
いいえtiene ningunウイルス
アブレロの乾草ペリグロ
ミラ・キュー・ブエノ・エスタ・エスト
Espero que esto te guste
スコーピオン・ヘイス・デ・ラス・スヤス
Esto si esta interesante abrelo que no hay peligro
Dime si te gusto
ティエーニウイルス、アジ・ケン・アブランロ・イ・ディスフルテン
エル・グラン・パス・オブ・ラス・ミュジェールとトランセラー

感染したメッセージを送信するために、ワームはSMTPサーバーに接続します。ワームは、既定のシステム設定からSMTPサーバーの名前を取得します。

被害者の電子メールアドレスは、WABファイル（Windowsアドレス帳）から取得されます。メッセージは毎回次のときに送信されます。

jajachistes@topica.com
tavojaja@yahoogroups.com
cartones@egroups.com
pensamientos@egroups.com
huateque@egroups.com
jacastro@geoline.net
forodelphi2000@yahoo.com.ar

ワームは最初の起動時にすぐに電子メールを送信し、内部の時間カウンターに応じて時間間隔で電子メールを送信します。

ペイロードなど

ワームは、Windowsがインストールされているドライブ上のすべての* .INFおよび* .SYSファイルを検索して削除します。このため、ほとんどの場合、システムが破壊されます。

9月から毎月15日にかけて、ウイルスは何らかのビデオ効果で動作します。

ワームは、以下のレジストリキーも作成し、変更します。

HKEY_LOCAL_MACHINESoftwareScorpionHelp
メール=黒人
ファック=ロージョ

これらのキーは、次のことを示します。第1のキー電子メールメッセージはすでに送信されています。 2番目のキー – INIファイルとSYSファイルが削除されました。

ワームは、内部の時間カウンターに応じて、アクティブなすべてのアプリケーションウィンドウを閉じたり、CDドライブをオープン/クローズしたり、Num / Caps / Scroll-lockキーを点滅させたりして500個のメッセージを表示します。

スコーピオンよ、エスティックアクア!!!!