Email-Worm.Win32.Suppl

技術的な詳細

これは、電子メールメッセージに添付されたインターネットチャネルを介してSUPPL.DOC MS Word97文書として広がるウイルスワームです。 1999年9月にいくつかのニュースグループに投稿されました。この文書は、ロシア語MS Word97版を使用して作成されました。つまり、ワームはロシア語またはxUSSR起源です。

ワームは、自分自身をシステムにインストールするために、WinNTで動作しない方法を使用します。その結果、ワームはWin9xシステムのみに感染し、感染する可能性があります。

ワームは非常に危険なペイロードを持っています。コンピュータに感染してから1週間後に、ワームはローカルおよびリモートドライブ上で次の拡張子のファイルを消去します。

DOC XLS TXT RTF DBF ZIP ARJ RAR

消去方法は"ZippedFiles"ワームによって使用されたものと同じで、破損したファイルは回復できません。

インストール

感染した文書には、MS Wordが文書を開くと自動的に実行されるDocument_Openマクロが1つしかありません。このマクロは、その文書をANTHRAX.INI名のWindowsシステムディレクトリにコピーし、そのDLLコンポーネント（感染文書に格納されている）をDLL.TMP名と同じディレクトリにドロップします。このDLLコンポーネントは、圧縮された一時DLL.LZHファイルを使用して削除されます。

ワームはWININIT.INIファイルに名前を変更する命令を追加します。これらの命令は、WSOCK32.DLLの名前をWSOCK33.D​​LLの名前に変更し、WSOCK32.DLLをワームのDLL.TMPライブラリに置き換えます。このトリックにより、Windowsは次のWindows再起動時にWSOCK32.DLLをワームコピーに置き換えます。

DLLを初期化すると、Windowsはオリジナルのものではなく感染した（ワームの）DLLを読み込み、結果としてネットワーク機能にアクセスします。

広がる

次のWindows再起動時に、感染したWSOCK32.DLLがシステムメモリにロードされ、制御が取得されます。ワームはこの時点でアクセスし、オリジナルのWSOCK32ライブラリが行うすべての必要なライブラリ機能を傍受します。 2つを除くすべての場合、ワームは要求を元の機能に転送します。この目的のために、ワームはWSOCK33.D​​LL（元のライブラリ）もWindowsのメモリにロードします。

2つの機能はウイルスによって処理されます。その名前は「送信」と「接続」です。これらの機能を使用することにより、感染したコンピュータから送信された電子メールを傍受し、そのコピーをSUPPL.DOCファイルとしてこれらの電子メールに添付します。