本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Sidex

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散し、ローカルネットワークに感染するウイルスワームです。ワーム自体は約107Kの長さ(圧縮PCShrink、202K圧縮解除)のWindows PE EXEファイルで、Delphiで書かれています。

感染したメッセージに含まれるもの:

件名 :サイトPornos
Body :Tudo bem to te enviandoのメーリングリストのメダルのサイトpornos da、私の知り合いになるには
スーメルホールアミーゴ;-)
添付ファイル :SitesDeSexo.doc.exe

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール

インストール中に、ワームはVxBrasil.exeという名前のWindowsシステムディレクトリに自分自身をコピーし、そのファイルを次のWIN.INIファイルのauto-runコマンドに登録します。

[windows] run =%SystemDir%VxBrasil.exe

%SystemDir%はWindowsのシステムディレクトリです。

広がる

ワームは、感染したメッセージを送信するために、Windows MAPI機能を使用し、電子メールボックスからのメッセージに「回答」します。

ローカルネットワーク

ワームは、ネットワーク共有ドライブをスキャンし、WIN.INIファイルでディレクトリを探し、 "666hacked.exe"という名前で自身をコピーし、このコピーを同じ "windows / run"キーでWIN.INIファイルに登録します上記。

その他

ワームはまた、感染したマシンにバックドア型トロイの木馬( "Backdoor.DRA")をインストールします。これを行うために、リソースからバックドアコードを抽出し、C:ALEVIRUS.EXEファイルとC:BACK.EXEファイルに保存し、それを生成します。

ワームはdekoyファイルC:SitesDeSexo.docを作成し、次のテキストをそこに書き込みます。

エステスのメゾメソサイトSEXOのインターネットのconfira 🙂

ワームはポルノサイトのリストを書き、このファイルを開きます。


オリジナルへのリンク