親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、インターネットとIRCチャネルを介して広がる危険なワームで、ローカルネットワークに感染します。ワーム自体は約90KのサイズのDelphiで書かれたWindowsアプリケーションです(ワームはPE EXE圧縮ツールで圧縮されている可能性がありますので、結果ファイルのサイズは元のサイズより小さくなる可能性があります)。
メールを送信する
感染コンピュータから感染した電子メールを送信するために、ワームは2つの異なる方法を試みます。まず、システムにインストールされているEudoraメーラーを探します。もし存在すれば、Eudoraの発信電子メールデータベース(OUT.MBXファイル)をスキャンし、そこから電子メールアドレスを取得し、ワームコピーが添付された感染メールをこれらのアドレスに送信します。ワームのメッセージは次のとおりです。
件名: 先週に関する...
テキスト: 同封された内容を確認し、できるだけ早く私に返却してください。
アイコンをダブルクリックして開きます。
添付: c:silver.exe
次に、ワームは、インストールされている電子メールシステムをブランドに依存することなく試します。ワームは、インストールされた電子メールシステムに接続し、そこからメッセージを取得し、電子メールアドレスを読み取り、それらを使用してそのコピーを送信するMAPI機能を使用します。この場合、メッセージは次のようになります。
件名 : Re:今これは素敵な写真です :-)
テキスト: あなたが彼女を見ることに興味があると思った
添付: naked.jpg.exe
mIRCおよびPIRCHクライアントへの感染
ワームは、IRCクライアントに影響を与えるために、C:MIRC、C:MIRC32、C:PIRCH98のディレクトリを探し、影響を受けるチャネルに侵入した各ユーザーにワームコピーを送信するプログラムでIRCスクリプトを上書きします。
mIRCスクリプトには追加の機能もあります。ユーザーがIRCチャンネルに "silverrat"というテキストを含むメッセージを送信すると、そのユーザーに "Silver rat virus"メッセージが表示されます(ワームは感染したコンピュータについてマスタに報告します)。チャネルに「pyrealrat」というテキストが見つかった場合、スクリプトは影響を受けるコンピュータ上のC:ドライブをファイルサーバーとして開きます(これは、C:ドライブ上のすべてのデータへのワームマスタアクセスを提供します)。
ローカルネットワークを介して広がる
ワームは、ネットワーク上のリモートコンピュータを感染させるために、C:z:までのすべてのドライブをスキャンし、そこにWINDOWSディレクトリを探します。存在する場合、ワームはそこに自身をコピーし、Windowsのバージョン(Win9xまたはWinNT)に応じてWIN.INIファイルのWindows自動実行セクションまたはシステムレジストリに登録します。ワームは、そのドライブが読み込み/書き込み用に共有されている場合、リモートコンピュータに感染する可能性があります。
システムへのインストール
自身をシステムにインストールするため、ワームは以下の名前でディレクトリに自身をコピーします。
Windowsディレクトリへ:SILVER.EXE、SILVER.VXD、NAKED.JPG.EXE、NAKED.JPG.SCRC:ドライブルートディレクトリ:SILVER.EXE
その後、ワームはシステムレジストリ内の自動実行フィールドに自身を登録します。
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRunこれらのフィールドにはすべて、次の命令が含まれます。
"Silver Rat" = WinDirsilver.exe「WinDir」はWindowsディレクトリの名前です。
その結果、ワームのコピーは各Windows起動時に4回実行されます。その結果、より多くの感染メールを送信するためには、さらに多くのレジストリキーに影響を与えます。
レジストリキーに影響する
Windowsアプリケーションは、システムレジストリの特別なレコードによってファイル名拡張子にリンクされます。これらのレコードは、指定された拡張子を持つファイルを処理するために実行されるアプリケーションを指します。ファイルが開かれると、Windowsはその拡張子を取得し、システムレジストリを参照してその種類のファイルを処理するアプリケーションの名前を取得します。
ワームはそのWindows機能を使用し、その100個以上のレジストリキーを変更します。これは、アプリケーションへの元の参照を自身のコピー(SILVER.VXD)への参照で置き換えます。このワームは、アプリケーションごとに3つの異なるキーを使用します。
シェルコマンド
シェルコマンド
シェルプレイコマンドパッチが適用されたレジストリキーは次のようになります。
HKCRAIFFFILEshellopencommand = "C:WINDOWSsilver.vxd 33157"%1 "%"
HKCRAIFFFILEshellplaycommand = "C:WINDOWSsilver.vxd 53157"%1 "%"
HKCRASFFILEshellopencommand = "C:WINDOWSsilver.vxd 379157"%1 "%"ここで、行の数字はホストファイルを実行するIDです(下記参照)。
影響を受けるアプリケーション(ファイル名拡張子とアプリケーションをリンクするレジストリキー)のリストはかなり大きく、次のようになります。
accesshtmlfile iqyfileファイルをregedit accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSファイルMMST AudioCD MIDFile wab_auto_file MMSU aufile money Winamp.File NSM AVFile MOVFile WinRAR MSBD ブリーフケースMPEGFILE WinRAR.ZIPモチーフ cdafile MPlayer WinZip Msi.Package チャットmscfileはMsi.Patchを作成します CSSファイルのWSFFile ofc.Document curfile msgfile x-internet-ofx.documentにサインインする ドライブMSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftpのニュースxslfile rtsp giffile nntp m3ufile scpfile helpfile Notes.Link ASFFileスクリプトレットファイル hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlファイルConnection Managerプロファイルホワイトボード icquser ramfile eybfile WIFImage.Document inifile RealMediaファイルfndfile WSHFileワームはオリジナルのキーを別のレジストリキーに保存します:
HKLMSソフトウェアシルバーラットこのキーには、上記のように置換されたすべてのキーのリストが含まれています。このリストは、ワームによって元のアプリケーションを実行するために使用されます。ワームは、その「バックアップ」リストからアプリケーション名とコマンドラインを取得し、それを生成します。
そのようなシステムレジストリに影響を与える方法は非常に危険です。ワームのコピーがシステムから削除された場合、Windowsは上記のアプリケーションにファイルを渡すことはできません。結果として、Windowsはそれ以降ほとんど機能しません。影響を受けるリストのファイルが開かれた場合、関連するSILVER.VXDが見つからないというエラーメッセージが表示されます。
ワームは、システムバックアップファイルに特別な注意を払い、レジストリファイルをバックアップから復元しないように駆除します。これを行うために、ワームは壊れて(ゴミ箱のデータで各ファイルの最初の5Kを上書きし)、ファイルを削除します:
WindowsディレクトリのUSER.DA0とSYSTEM.DA0
C:ドライブのルートディレクトリのSYSTEM.1ST「アンインストール」ペイロード
ワームは、「アンインストール」の場合に実行されるペイロードルーチンを持っています。
ワームは、システムレジストリに「アンインストール」キーを作成します。
HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "シルバーラットウイルス"
UninstallString = "c:silver.exe / uninstall"その結果、ワームのレコードは、ControlPanel / AddRemoveProgramsウィンドウに「Silver Rat Virus」として表示されます。 「削除」ボタンが押された場合、ワームはメッセージボックスを表示します:
血液
"私はいくつかのビデオを返す必要があります" - アメリカのサイコRecycleBinウィンドウのヘッダー行をガベージで埋めます(図参照)。
その他の機能
ワームは、アクティブなアンチウィルスアプリケーションを探し、その名前で終了します。
AVPモニター
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScanスケジューラ
ZoneAlarm
WRQ NAMAppクラスまた、ウイルス対策ファイル(データベース)を探して削除します。
* .AVC(AVP)
* .DAT(NAI)
BAVAP.VXD、NAVKRNLN.VXD(NAV)ワームはVBSファイルにも影響を与えますが、バグのために失敗します。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!