これは、インターネットとIRCチャネルを介して広がる危険なワームで、ローカルネットワークに感染します。ワーム自体は約90KのサイズのDelphiで書かれたWindowsアプリケーションです(ワームはPE EXE圧縮ツールで圧縮されている可能性がありますので、結果ファイルのサイズは元のサイズより小さくなる可能性があります)。
感染コンピュータから感染した電子メールを送信するために、ワームは2つの異なる方法を試みます。まず、システムにインストールされているEudoraメーラーを探します。もし存在すれば、Eudoraの発信電子メールデータベース(OUT.MBXファイル)をスキャンし、そこから電子メールアドレスを取得し、ワームコピーが添付された感染メールをこれらのアドレスに送信します。ワームのメッセージは次のとおりです。
次に、ワームは、インストールされている電子メールシステムをブランドに依存することなく試します。ワームは、インストールされた電子メールシステムに接続し、そこからメッセージを取得し、電子メールアドレスを読み取り、それらを使用してそのコピーを送信するMAPI機能を使用します。この場合、メッセージは次のようになります。
ワームは、IRCクライアントに影響を与えるために、C:MIRC、C:MIRC32、C:PIRCH98のディレクトリを探し、影響を受けるチャネルに侵入した各ユーザーにワームコピーを送信するプログラムでIRCスクリプトを上書きします。
mIRCスクリプトには追加の機能もあります。ユーザーがIRCチャンネルに "silverrat"というテキストを含むメッセージを送信すると、そのユーザーに "Silver rat virus"メッセージが表示されます(ワームは感染したコンピュータについてマスタに報告します)。チャネルに「pyrealrat」というテキストが見つかった場合、スクリプトは影響を受けるコンピュータ上のC:ドライブをファイルサーバーとして開きます(これは、C:ドライブ上のすべてのデータへのワームマスタアクセスを提供します)。
ワームは、ネットワーク上のリモートコンピュータを感染させるために、C:z:までのすべてのドライブをスキャンし、そこにWINDOWSディレクトリを探します。存在する場合、ワームはそこに自身をコピーし、Windowsのバージョン(Win9xまたはWinNT)に応じてWIN.INIファイルのWindows自動実行セクションまたはシステムレジストリに登録します。ワームは、そのドライブが読み込み/書き込み用に共有されている場合、リモートコンピュータに感染する可能性があります。
その後、ワームはシステムレジストリ内の自動実行フィールドに自身を登録します。
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun
これらのフィールドにはすべて、次の命令が含まれます。
"Silver Rat" = WinDirsilver.exe
「WinDir」はWindowsディレクトリの名前です。
その結果、ワームのコピーは各Windows起動時に4回実行されます。その結果、より多くの感染メールを送信するためには、さらに多くのレジストリキーに影響を与えます。
レジストリキーに影響する
Windowsアプリケーションは、システムレジストリの特別なレコードによってファイル名拡張子にリンクされます。これらのレコードは、指定された拡張子を持つファイルを処理するために実行されるアプリケーションを指します。ファイルが開かれると、Windowsはその拡張子を取得し、システムレジストリを参照してその種類のファイルを処理するアプリケーションの名前を取得します。
ワームはそのWindows機能を使用し、その100個以上のレジストリキーを変更します。これは、アプリケーションへの元の参照を自身のコピー(SILVER.VXD)への参照で置き換えます。このワームは、アプリケーションごとに3つの異なるキーを使用します。
シェルコマンド
シェルコマンド
シェルプレイコマンド
パッチが適用されたレジストリキーは次のようになります。
HKCRAIFFFILEshellopencommand = "C:WINDOWSsilver.vxd 33157"%1 "%"
HKCRAIFFFILEshellplaycommand = "C:WINDOWSsilver.vxd 53157"%1 "%"
HKCRASFFILEshellopencommand = "C:WINDOWSsilver.vxd 379157"%1 "%"
ここで、行の数字はホストファイルを実行するIDです(下記参照)。
影響を受けるアプリケーション(ファイル名拡張子とアプリケーションをリンクするレジストリキー)のリストはかなり大きく、次のようになります。
accesshtmlfile iqyfileファイルをregedit
accessthmltemplate IVFfile regfile GatewayFile
AIFFFILE jpegfile SHCmdFile htafile
AllaireTemplate JSFile SoundRec icsfile
anifile ldap tgafile mhtmlfile
artfile mailto txtfile MMS
aspfile mic VBSファイルMMST
AudioCD MIDFile wab_auto_file MMSU
aufile money Winamp.File NSM
AVFile MOVFile WinRAR MSBD
ブリーフケースMPEGFILE WinRAR.ZIPモチーフ
cdafile MPlayer WinZip Msi.Package
チャットmscfileはMsi.Patchを作成します
CSSファイルのWSFFile ofc.Document
curfile msgfile x-internet-ofx.documentにサインインする
ドライブMSProgramGroup xbmfile pjpegfile
DrWatsonLog Net2PhoneApp xmlfile PNM
Excel.Workspace NetscapeMarkup xnkfile qwb.Document
ftpのニュースxslfile rtsp
giffile nntp m3ufile scpfile
helpfile Notes.Link ASFFileスクリプトレットファイル
hlpfile ossfile ASXFile SSM
htfile outlook BeHostFile ThemeFile
htmlfile PBrush ChannelFile TIFImage.Document
http pcxfile chm.file ttffile
https pngfile CMCD WangImage.Document
icofile powerpointhtmlファイルConnection Managerプロファイルホワイトボード
icquser ramfile eybfile WIFImage.Document
inifile RealMediaファイルfndfile WSHFile
ワームはオリジナルのキーを別のレジストリキーに保存します:
HKLMSソフトウェアシルバーラット
このキーには、上記のように置換されたすべてのキーのリストが含まれています。このリストは、ワームによって元のアプリケーションを実行するために使用されます。ワームは、その「バックアップ」リストからアプリケーション名とコマンドラインを取得し、それを生成します。
そのようなシステムレジストリに影響を与える方法は非常に危険です。ワームのコピーがシステムから削除された場合、Windowsは上記のアプリケーションにファイルを渡すことはできません。結果として、Windowsはそれ以降ほとんど機能しません。影響を受けるリストのファイルが開かれた場合、関連するSILVER.VXDが見つからないというエラーメッセージが表示されます。
ワームは、システムバックアップファイルに特別な注意を払い、レジストリファイルをバックアップから復元しないように駆除します。これを行うために、ワームは壊れて(ゴミ箱のデータで各ファイルの最初の5Kを上書きし)、ファイルを削除します:
WindowsディレクトリのUSER.DA0とSYSTEM.DA0
C:ドライブのルートディレクトリのSYSTEM.1ST
「アンインストール」ペイロード
ワームは、「アンインストール」の場合に実行されるペイロードルーチンを持っています。
ワームは、システムレジストリに「アンインストール」キーを作成します。
HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "シルバーラットウイルス"
UninstallString = "c:silver.exe / uninstall"
その結果、ワームのレコードは、ControlPanel / AddRemoveProgramsウィンドウに「Silver Rat Virus」として表示されます。 「削除」ボタンが押された場合、ワームはメッセージボックスを表示します:
血液
"私はいくつかのビデオを返す必要があります" – アメリカのサイコ
RecycleBinウィンドウのヘッダー行をガベージで埋めます(図参照)。
その他の機能
ワームは、アクティブなアンチウィルスアプリケーションを探し、その名前で終了します。
AVPモニター
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScanスケジューラ
ZoneAlarm
WRQ NAMAppクラス
また、ウイルス対策ファイル(データベース)を探して削除します。
* .AVC(AVP)
* .DAT(NAI)
BAVAP.VXD、NAVKRNLN.VXD(NAV)
ワームはVBSファイルにも影響を与えますが、バグのために失敗します。