本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Silver

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、インターネットとIRCチャネルを介して広がる危険なワームで、ローカルネットワークに感染します。ワーム自体は約90KのサイズのDelphiで書かれたWindowsアプリケーションです(ワームはPE EXE圧縮ツールで圧縮されている可能性がありますので、結果ファイルのサイズは元のサイズより小さくなる可能性があります)。

メールを送信する

感染コンピュータから感染した電子メールを送信するために、ワームは2つの異なる方法を試みます。まず、システムにインストールされているEudoraメーラーを探します。もし存在すれば、Eudoraの発信電子メールデータベース(OUT.MBXファイル)をスキャンし、そこから電子メールアドレスを取得し、ワームコピーが添付された感染メールをこれらのアドレスに送信します。ワームのメッセージは次のとおりです。

件名: 先週に関する…
テキスト: 同封された内容を確認し、できるだけ早く私に返却してください。
アイコンをダブルクリックして開きます。

添付: c:silver.exe

次に、ワームは、インストールされている電子メールシステムをブランドに依存することなく試します。ワームは、インストールされた電子メールシステムに接続し、そこからメッセージを取得し、電子メールアドレスを読み取り、それらを使用してそのコピーを送信するMAPI機能を使用します。この場合、メッセージは次のようになります。

件名Re:今これは素敵な写真です 🙂
テキスト: あなたが彼女を見ることに興味があると思った
添付: naked.jpg.exe

mIRCおよびPIRCHクライアントへの感染

ワームは、IRCクライアントに影響を与えるために、C:MIRC、C:MIRC32、C:PIRCH98のディレクトリを探し、影響を受けるチャネルに侵入した各ユーザーにワームコピーを送信するプログラムでIRCスクリプトを上書きします。

mIRCスクリプトには追加の機能もあります。ユーザーがIRCチャンネルに "silverrat"というテキストを含むメッセージを送信すると、そのユーザーに "Silver rat virus"メッセージが表示されます(ワームは感染したコンピュータについてマスタに報告します)。チャネルに「pyrealrat」というテキストが見つかった場合、スクリプトは影響を受けるコンピュータ上のC:ドライブをファイルサーバーとして開きます(これは、C:ドライブ上のすべてのデータへのワームマスタアクセスを提供します)。

ローカルネットワークを介して広がる

ワームは、ネットワーク上のリモートコンピュータを感染させるために、C:z:までのすべてのドライブをスキャンし、そこにWINDOWSディレクトリを探します。存在する場合、ワームはそこに自身をコピーし、Windowsのバージョン(Win9xまたはWinNT)に応じてWIN.INIファイルのWindows自動実行セクションまたはシステムレジストリに登録します。ワームは、そのドライブが読み込み/書き込み用に共有されている場合、リモートコンピュータに感染する可能性があります。

システムへのインストール

自身をシステムにインストールするため、ワームは以下の名前でディレクトリに自身をコピーします。

Windowsディレクトリへ:SILVER.EXE、SILVER.VXD、NAKED.JPG.EXE、NAKED.JPG.SCR
C:ドライブルートディレクトリ:SILVER.EXE

その後、ワームはシステムレジストリ内の自動実行フィールドに自身を登録します。

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKUSoftwareMicrosoftWindowsCurrentVersionRun

これらのフィールドにはすべて、次の命令が含まれます。

"Silver Rat" = WinDirsilver.exe

「WinDir」はWindowsディレクトリの名前です。

その結果、ワームのコピーは各Windows起動時に4回実行されます。その結果、より多くの感染メールを送信するためには、さらに多くのレジストリキーに影響を与えます。

レジストリキーに影響する

Windowsアプリケーションは、システムレジストリの特別なレコードによってファイル名拡張子にリンクされます。これらのレコードは、指定された拡張子を持つファイルを処理するために実行されるアプリケーションを指します。ファイルが開かれると、Windowsはその拡張子を取得し、システムレジストリを参照してその種類のファイルを処理するアプリケーションの名前を取得します。

ワームはそのWindows機能を使用し、その100個以上のレジストリキーを変更します。これは、アプリケーションへの元の参照を自身のコピー(SILVER.VXD)への参照で置き換えます。このワームは、アプリケーションごとに3つの異なるキーを使用します。

シェルコマンド
シェルコマンド
シェルプレイコマンド

パッチが適用されたレジストリキーは次のようになります。

HKCRAIFFFILEshellopencommand = "C:WINDOWSsilver.vxd 33157"%1 "%"
HKCRAIFFFILEshellplaycommand = "C:WINDOWSsilver.vxd 53157"%1 "%"
HKCRASFFILEshellopencommand = "C:WINDOWSsilver.vxd 379157"%1 "%"

ここで、行の数字はホストファイルを実行するIDです(下記参照)。

影響を受けるアプリケーション(ファイル名拡張子とアプリケーションをリンクするレジストリキー)のリストはかなり大きく、次のようになります。

 accesshtmlfile iqyfileファイルをregedit
 accessthmltemplate IVFfile regfile GatewayFile
 AIFFFILE jpegfile SHCmdFile htafile
 AllaireTemplate JSFile SoundRec icsfile
 anifile ldap tgafile mhtmlfile
 artfile mailto txtfile MMS
 aspfile mic VBSファイルMMST
 AudioCD MIDFile wab_auto_file MMSU
 aufile money Winamp.File NSM
 AVFile MOVFile WinRAR MSBD
 ブリーフケースMPEGFILE WinRAR.ZIPモチーフ
 cdafile MPlayer WinZip Msi.Package
 チャットmscfileはMsi.Patchを作成します
 CSSファイルのWSFFile ofc.Document
 curfile msgfile x-internet-ofx.documentにサインインする
 ドライブMSProgramGroup xbmfile pjpegfile
 DrWatsonLog Net2PhoneApp xmlfile PNM
 Excel.Workspace NetscapeMarkup xnkfile qwb.Document
 ftpのニュースxslfile rtsp
 giffile nntp m3ufile scpfile
 helpfile Notes.Link ASFFileスクリプトレットファイル
 hlpfile ossfile ASXFile SSM
 htfile outlook BeHostFile ThemeFile
 htmlfile PBrush ChannelFile TIFImage.Document
 http pcxfile chm.file ttffile
 https pngfile CMCD WangImage.Document
 icofile powerpointhtmlファイルConnection Managerプロファイルホワイトボード
 icquser ramfile eybfile WIFImage.Document
 inifile RealMediaファイルfndfile WSHFile

ワームはオリジナルのキーを別のレジストリキーに保存します:

HKLMSソフトウェアシルバーラット

このキーには、上記のように置換されたすべてのキーのリストが含まれています。このリストは、ワームによって元のアプリケーションを実行するために使用されます。ワームは、その「バックアップ」リストからアプリケーション名とコマンドラインを取得し、それを生成します。

そのようなシステムレジストリに影響を与える方法は非常に危険です。ワームのコピーがシステムから削除された場合、Windowsは上記のアプリケーションにファイルを渡すことはできません。結果として、Windowsはそれ以降ほとんど機能しません。影響を受けるリストのファイルが開かれた場合、関連するSILVER.VXDが見つからないというエラーメッセージが表示されます。

ワームは、システムバックアップファイルに特別な注意を払い、レジストリファイルをバックアップから復元しないように駆除します。これを行うために、ワームは壊れて(ゴミ箱のデータで各ファイルの最初の5Kを上書きし)、ファイルを削除します:

WindowsディレクトリのUSER.DA0とSYSTEM.DA0
C:ドライブのルートディレクトリのSYSTEM.1ST

「アンインストール」ペイロード

ワームは、「アンインストール」の場合に実行されるペイロードルーチンを持っています。

ワームは、システムレジストリに「アンインストール」キーを作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallSilver Rat
DisplayName = "シルバーラットウイルス"
UninstallString = "c:silver.exe / uninstall"

その結果、ワームのレコードは、ControlPanel / AddRemoveProgramsウィンドウに「Silver Rat Virus」として表示されます。 「削除」ボタンが押された場合、ワームはメッセージボックスを表示します:

血液
"私はいくつかのビデオを返す必要があります" – アメリカのサイコ

RecycleBinウィンドウのヘッダー行をガベージで埋めます(図参照)。

その他の機能

ワームは、アクティブなアンチウィルスアプリケーションを探し、その名前で終了します。

AVPモニター
Norton AntiVirus Auto-Protect
Norton AntiVirus v5.0
VShieldWin_Class
NAI_VS_STAT
McAfee VirusScanスケジューラ
ZoneAlarm
WRQ NAMAppクラス

また、ウイルス対策ファイル(データベース)を探して削除します。

* .AVC(AVP)
* .DAT(NAI)
BAVAP.VXD、NAVKRNLN.VXD(NAV)

ワームはVBSファイルにも影響を与えますが、バグのために失敗します。


オリジナルへのリンク