Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、インターネットとIRCチャネルを介して広がる危険なワームで、ローカルネットワークに感染します。ワーム自体は約90KのサイズのDelphiで書かれたWindowsアプリケーションです（ワームはPE EXE圧縮ツールで圧縮されている可能性がありますので、結果ファイルのサイズは元のサイズより小さくなる可能性があります）。

メールを送信する

感染コンピュータから感染した電子メールを送信するために、ワームは2つの異なる方法を試みます。まず、システムにインストールされているEudoraメーラーを探します。もし存在すれば、Eudoraの発信電子メールデータベース（OUT.MBXファイル）をスキャンし、そこから電子メールアドレスを取得し、ワームコピーが添付された感染メールをこれらのアドレスに送信します。ワームのメッセージは次のとおりです。

件名： 先週に関する…
テキスト： 同封された内容を確認し、できるだけ早く私に返却してください。
アイコンをダブルクリックして開きます。
添付： c：silver.exe

次に、ワームは、インストールされている電子メールシステムをブランドに依存することなく試します。ワームは、インストールされた電子メールシステムに接続し、そこからメッセージを取得し、電子メールアドレスを読み取り、それらを使用してそのコピーを送信するMAPI機能を使用します。この場合、メッセージは次のようになります。

件名： Re：今これは素敵な写真です 🙂
テキスト： あなたが彼女を見ることに興味があると思った
添付： naked.jpg.exe

mIRCおよびPIRCHクライアントへの感染

ワームは、IRCクライアントに影響を与えるために、C：MIRC、C：MIRC32、C：PIRCH98のディレクトリを探し、影響を受けるチャネルに侵入した各ユーザーにワームコピーを送信するプログラムでIRCスクリプトを上書きします。

mIRCスクリプトには追加の機能もあります。ユーザーがIRCチャンネルに "silverrat"というテキストを含むメッセージを送信すると、そのユーザーに "Silver rat virus"メッセージが表示されます（ワームは感染したコンピュータについてマスタに報告します）。チャネルに「pyrealrat」というテキストが見つかった場合、スクリプトは影響を受けるコンピュータ上のC：ドライブをファイルサーバーとして開きます（これは、C：ドライブ上のすべてのデータへのワームマスタアクセスを提供します）。

ローカルネットワークを介して広がる

ワームは、ネットワーク上のリモートコンピュータを感染させるために、C：z：までのすべてのドライブをスキャンし、そこにWINDOWSディレクトリを探します。存在する場合、ワームはそこに自身をコピーし、Windowsのバージョン（Win9xまたはWinNT）に応じてWIN.INIファイルのWindows自動実行セクションまたはシステムレジストリに登録します。ワームは、そのドライブが読み込み/書き込み用に共有されている場合、リモートコンピュータに感染する可能性があります。

システムへのインストール

自身をシステムにインストールするため、ワームは以下の名前でディレクトリに自身をコピーします。

Windowsディレクトリへ：SILVER.EXE、SILVER.VXD、NAKED.JPG.EXE、NAKED.JPG.SCR
C：ドライブルートディレクトリ：SILVER.EXE

その後、ワームはシステムレジストリ内の自動実行フィールドに自身を登録します。

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

これらのフィールドにはすべて、次の命令が含まれます。

"Silver Rat" = WinDirsilver.exe

「WinDir」はWindowsディレクトリの名前です。

その結果、ワームのコピーは各Windows起動時に4回実行されます。その結果、より多くの感染メールを送信するためには、さらに多くのレジストリキーに影響を与えます。

レジストリキーに影響する

Windowsアプリケーションは、システムレジストリの特別なレコードによってファイル名拡張子にリンクされます。これらのレコードは、指定された拡張子を持つファイルを処理するために実行されるアプリケーションを指します。ファイルが開かれると、Windowsはその拡張子を取得し、システムレジストリを参照してその種類のファイルを処理するアプリケーションの名前を取得します。

ワームはそのWindows機能を使用し、その100個以上のレジストリキーを変更します。これは、アプリケーションへの元の参照を自身のコピー（SILVER.VXD）への参照で置き換えます。このワームは、アプリケーションごとに3つの異なるキーを使用します。

シェルコマンド
シェルコマンド
シェルプレイコマンド

パッチが適用されたレジストリキーは次のようになります。

HKCRAIFFFILEshellopencommand = "C：WINDOWSsilver.vxd 33157"％1 "％"
HKCRAIFFFILEshellplaycommand = "C：WINDOWSsilver.vxd 53157"％1 "％"
HKCRASFFILEshellopencommand = "C：WINDOWSsilver.vxd 379157"％1 "％"

ここで、行の数字はホストファイルを実行するIDです（下記参照）。

影響を受けるアプリケーション（ファイル名拡張子とアプリケーションをリンクするレジストリキー）のリストはかなり大きく、次のようになります。
 accesshtmlfile iqyfileファイルをregedit
 accessthmltemplate IVFfile regfile GatewayFile
 AIFFFILE jpegfile SHCmdFile htafile
 AllaireTemplate JSFile SoundRec icsfile
 anifile ldap tgafile mhtmlfile
 artfile mailto txtfile MMS
 aspfile mic VBSファイルMMST
 AudioCD MIDFile wab_auto_file MMSU
 aufile money Winamp.File NSM
 AVFile MOVFile WinRAR MSBD
 ブリーフケースMPEGFILE WinRAR.ZIPモチーフ
 cdafile MPlayer WinZip Msi.Package
 チャットmscfileはMsi.Patchを作成します
 CSSファイルのWSFFile ofc.Document
 curfile msgfile x-internet-ofx.documentにサインインする
 ドライブMSProgramGroup xbmfile pjpegfile
 DrWatsonLog Net2PhoneApp xmlfile PNM
 Excel.Workspace NetscapeMarkup xnkfile qwb.Document
 ftpのニュースxslfile rtsp
 giffile nntp m3ufile scpfile
 helpfile Notes.Link ASFFileスクリプトレットファイル
 hlpfile ossfile ASXFile SSM
 htfile outlook BeHostFile ThemeFile
 htmlfile PBrush ChannelFile TIFImage.Document
 http pcxfile chm.file ttffile
 https pngfile CMCD WangImage.Document
 icofile powerpointhtmlファイルConnection Managerプロファイルホワイトボード
 icquser ramfile eybfile WIFImage.Document
 inifile RealMediaファイルfndfile WSHFile
ワームはオリジナルのキーを別のレジストリキーに保存します：

HKLMSソフトウェアシルバーラット

このキーには、上記のように置換されたすべてのキーのリストが含まれています。このリストは、ワームによって元のアプリケーションを実行するために使用されます。ワームは、その「バックアップ」リストからアプリケーション名とコマンドラインを取得し、それを生成します。

そのようなシステムレジストリに影響を与える方法は非常に危険です。ワームのコピーがシステムから削除された場合、Windowsは上記のアプリケーションにファイルを渡すことはできません。結果として、Windowsはそれ以降ほとんど機能しません。影響を受けるリストのファイルが開かれた場合、関連するSILVER.VXDが見つからないというエラーメッセージが表示されます。

ワームは、システムバックアップファイルに特別な注意を払い、レジストリファイルをバックアップから復元しないように駆除します。これを行うために、ワームは壊れて（ゴミ箱のデータで各ファイルの最初の5Kを上書きし）、ファイルを削除します：

WindowsディレクトリのUSER.DA0とSYSTEM.DA0
C：ドライブのルートディレクトリのSYSTEM.1ST

「アンインストール」ペイロード

ワームは、「アンインストール」の場合に実行されるペイロードルーチンを持っています。

ワームは、システムレジストリに「アンインストール」キーを作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "シルバーラットウイルス"
UninstallString = "c：silver.exe / uninstall"

その結果、ワームのレコードは、ControlPanel / AddRemoveProgramsウィンドウに「Silver Rat Virus」として表示されます。「削除」ボタンが押された場合、ワームはメッセージボックスを表示します：

血液
"私はいくつかのビデオを返す必要があります" – アメリカのサイコ

RecycleBinウィンドウのヘッダー行をガベージで埋めます（図参照）。

その他の機能

ワームは、アクティブなアンチウィルスアプリケーションを探し、その名前で終了します。

AVPモニター
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScanスケジューラ
ZoneAlarm
WRQ NAMAppクラス

また、ウイルス対策ファイル（データベース）を探して削除します。

* .AVC（AVP）
* .DAT（NAI）
BAVAP.VXD、NAVKRNLN.VXD（NAV）

ワームはVBSファイルにも影響を与えますが、バグのために失敗します。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、インターネットとIRCチャネルを介して広がる危険なワームで、ローカルネットワークに感染します。ワーム自体は約90KのサイズのDelphiで書かれたWindowsアプリケーションです（ワームはPE EXE圧縮ツールで圧縮されている可能性がありますので、結果ファイルのサイズは元のサイズより小さくなる可能性があります）。メールを送信する感染コンピュータから感染した電子メールを送信するために、ワームは2つの異なる方法を試みます。まず、システムにインストールされているEudoraメーラーを探します。もし存在すれば、Eudoraの発信電子メールデータベース（OUT.MBXファイル）をスキャンし、そこから電子メールアドレスを取得し、ワームコピーが添付された感染メールをこれらのアドレスに送信します。ワームのメッセージは次のとおりです。件名：先週に関する… テキスト：同封された内容を確認し、できるだけ早く私に返却してください。アイコンをダブルクリックして開きます。添付： c：silver.exe 次に、ワームは、インストールされている電子メールシステムをブランドに依存することなく試します。ワームは、インストールされた電子メールシステムに接続し、そこからメッセージを取得し、電子メールアドレスを読み取り、それらを使用してそのコピーを送信するMAPI機能を使用します。この場合、メッセージは次のようになります。件名： Re：今これは素敵な写真です 🙂 テキスト：あなたが彼女を見ることに興味があると思った添付： naked.jpg.exe mIRCおよびPIRCHクライアントへの感染ワームは、IRCクライアントに影響を与えるために、C：MIRC、C：MIRC32、C：PIRCH98のディレクトリを探し、影響を受けるチャネルに侵入した各ユーザーにワームコピーを送信するプログラムでIRCスクリプトを上書きします。 mIRCスクリプトには追加の機能もあります。ユーザーがIRCチャンネルに "silverrat"というテキストを含むメッセージを送信すると、そのユーザーに "Silver rat virus"メッセージが表示されます（ワームは感染したコンピュータについてマスタに報告します）。チャネルに「pyrealrat」というテキストが見つかった場合、スクリプトは影響を受けるコンピュータ上のC：ドライブをファイルサーバーとして開きます（これは、C：ドライブ上のすべてのデータへのワームマスタアクセスを提供します）。ローカルネットワークを介して広がるワームは、ネットワーク上のリモートコンピュータを感染させるために、C：z：までのすべてのドライブをスキャンし、そこにWINDOWSディレクトリを探します。存在する場合、ワームはそこに自身をコピーし、Windowsのバージョン（Win9xまたはWinNT）に応じてWIN.INIファイルのWindows自動実行セクションまたはシステムレジストリに登録します。ワームは、そのドライブが読み込み/書き込み用に共有されている場合、リモートコンピュータに感染する可能性があります。システムへのインストール自身をシステムにインストールするため、ワームは以下の名前でディレクトリに自身をコピーします。 Windowsディレクトリへ：SILVER.EXE、SILVER.VXD、NAKED.JPG.EXE、NAKED.JPG.SCR C：ドライブルートディレクトリ：SILVER.EXE その後、ワームはシステムレジストリ内の自動実行フィールドに自身を登録します。 HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices HKUSoftwareMicrosoftWindowsCurrentVersionRun これらのフィールドにはすべて、次の命令が含まれます。 "Silver Rat" = WinDirsilver.exe 「WinDir」はWindowsディレクトリの名前です。その結果、ワームのコピーは各Windows起動時に4回実行されます。その結果、より多くの感染メールを送信するためには、さらに多くのレジストリキーに影響を与えます。レジストリキーに影響する Windowsアプリケーションは、システムレジストリの特別なレコードによってファイル名拡張子にリンクされます。これらのレコードは、指定された拡張子を持つファイルを処理するために実行されるアプリケーションを指します。ファイルが開かれると、Windowsはその拡張子を取得し、システムレジストリを参照してその種類のファイルを処理するアプリケーションの名前を取得します。ワームはそのWindows機能を使用し、その100個以上のレジストリキーを変更します。これは、アプリケーションへの元の参照を自身のコピー（SILVER.VXD）への参照で置き換えます。このワームは、アプリケーションごとに3つの異なるキーを使用します。シェルコマンドシェルコマンドシェルプレイコマンドパッチが適用されたレジストリキーは次のようになります。 HKCRAIFFFILEshellopencommand = "C：WINDOWSsilver.vxd 33157"％1 "％" HKCRAIFFFILEshellplaycommand = "C：WINDOWSsilver.vxd 53157"％1 "％" HKCRASFFILEshellopencommand = "C：WINDOWSsilver.vxd 379157"％1 "％" ここで、行の数字はホストファイルを実行するIDです（下記参照）。影響を受けるアプリケーション（ファイル名拡張子とアプリケーションをリンクするレジストリキー）のリストはかなり大きく、次のようになります。 accesshtmlfile iqyfileファイルをregedit accessthmltemplate IVFfile regfile GatewayFile AIFFFILE jpegfile SHCmdFile htafile AllaireTemplate JSFile SoundRec icsfile anifile ldap tgafile mhtmlfile artfile mailto txtfile MMS aspfile mic VBSファイルMMST AudioCD MIDFile wab_auto_file MMSU aufile money Winamp.File NSM AVFile MOVFile WinRAR MSBD ブリーフケースMPEGFILE WinRAR.ZIPモチーフ cdafile MPlayer WinZip Msi.Package チャットmscfileはMsi.Patchを作成します CSSファイルのWSFFile ofc.Document curfile msgfile x-internet-ofx.documentにサインインするドライブMSProgramGroup xbmfile pjpegfile DrWatsonLog Net2PhoneApp xmlfile PNM Excel.Workspace NetscapeMarkup xnkfile qwb.Document ftpのニュースxslfile rtsp giffile nntp m3ufile scpfile helpfile Notes.Link ASFFileスクリプトレットファイル hlpfile ossfile ASXFile SSM htfile outlook BeHostFile ThemeFile htmlfile PBrush ChannelFile TIFImage.Document http pcxfile chm.file ttffile https pngfile CMCD WangImage.Document icofile powerpointhtmlファイルConnection Managerプロファイルホワイトボード icquser ramfile eybfile WIFImage.Document inifile RealMediaファイルfndfile WSHFile ワームはオリジナルのキーを別のレジストリキーに保存します： HKLMSソフトウェアシルバーラットこのキーには、上記のように置換されたすべてのキーのリストが含まれています。このリストは、ワームによって元のアプリケーションを実行するために使用されます。ワームは、その「バックアップ」リストからアプリケーション名とコマンドラインを取得し、それを生成します。そのようなシステムレジストリに影響を与える方法は非常に危険です。ワームのコピーがシステムから削除された場合、Windowsは上記のアプリケーションにファイルを渡すことはできません。結果として、Windowsはそれ以降ほとんど機能しません。影響を受けるリストのファイルが開かれた場合、関連するSILVER.VXDが見つからないというエラーメッセージが表示されます。ワームは、システムバックアップファイルに特別な注意を払い、レジストリファイルをバックアップから復元しないように駆除します。これを行うために、ワームは壊れて（ゴミ箱のデータで各ファイルの最初の5Kを上書きし）、ファイルを削除します： WindowsディレクトリのUSER.DA0とSYSTEM.DA0 C：ドライブのルートディレクトリのSYSTEM.1ST 「アンインストール」ペイロードワームは、「アンインストール」の場合に実行されるペイロードルーチンを持っています。ワームは、システムレジストリに「アンインストール」キーを作成します。 HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat DisplayName = "シルバーラットウイルス" UninstallString = "c：silver.exe / uninstall" その結果、ワームのレコードは、ControlPanel / AddRemoveProgramsウィンドウに「Silver Rat Virus」として表示されます。「削除」ボタンが押された場合、ワームはメッセージボックスを表示します：血液 "私はいくつかのビデオを返す必要があります" – アメリカのサイコ RecycleBinウィンドウのヘッダー行をガベージで埋めます（図参照）。その他の機能ワームは、アクティブなアンチウィルスアプリケーションを探し、その名前で終了します。 AVPモニター Norton AntiVirus Auto-Protect Norton AntiVirus v5.0 VShieldWin_Class NAI_VS_STAT McAfee VirusScanスケジューラ ZoneAlarm WRQ NAMAppクラスまた、ウイルス対策ファイル（データベース）を探して削除します。 * .AVC（AVP） * .DAT（NAI） BAVAP.VXD、NAVKRNLN.VXD（NAV）ワームはVBSファイルにも影響を与えますが、バグのために失敗します。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Silver

技術的な詳細

メールを送信する

mIRCおよびPIRCHクライアントへの感染

ローカルネットワークを介して広がる

システムへのインストール

レジストリキーに影響する

「アンインストール」ペイロード

その他の機能