Email-Worm.Win32.Sidex

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散し、ローカルネットワークに感染するウイルスワームです。ワーム自体は約107Kの長さ（圧縮PCShrink、202K圧縮解除）のWindows PE EXEファイルで、Delphiで書かれています。

感染したメッセージに含まれるもの：

件名 ：サイトPornos
Body ：Tudo bem to te enviandoのメーリングリストのメダルのサイトpornos da、私の知り合いになるには
スーメルホールアミーゴ;-)
添付ファイル ：SitesDeSexo.doc.exe

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール

インストール中に、ワームはVxBrasil.exeという名前のWindowsシステムディレクトリに自分自身をコピーし、そのファイルを次のWIN.INIファイルのauto-runコマンドに登録します。

[windows] run =％SystemDir％VxBrasil.exe

％SystemDir％はWindowsのシステムディレクトリです。

広がる

ワームは、感染したメッセージを送信するために、Windows MAPI機能を使用し、電子メールボックスからのメッセージに「回答」します。

ローカルネットワーク

ワームは、ネットワーク共有ドライブをスキャンし、WIN.INIファイルでディレクトリを探し、 "666hacked.exe"という名前で自身をコピーし、このコピーを同じ "windows / run"キーでWIN.INIファイルに登録します上記。

その他

ワームはまた、感染したマシンにバックドア型トロイの木馬（ "Backdoor.DRA"）をインストールします。これを行うために、リソースからバックドアコードを抽出し、C：ALEVIRUS.EXEファイルとC：BACK.EXEファイルに保存し、それを生成します。

ワームはdekoyファイルC：SitesDeSexo.docを作成し、次のテキストをそこに書き込みます。

エステスのメゾメソサイトSEXOのインターネットのconfira 🙂

ワームはポルノサイトのリストを書き、このファイルを開きます。