親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
Swenは非常に危険なワームウイルスで、電子メール(感染ファイル添付ファイルの形式)、Kazaaファイル共有ネットワーク、IRCチャネル、およびオープンネットワークリソースを介してインターネットに広がります。
SWENは、Microsoft Visual C ++で書かれ、サイズが105キロバイト(106496バイト)です。
被害者が感染したファイル(添付ファイルをダブルクリック)を起動したときや、被害者のマシンの電子メールアプリケーションは、(また、インターネットワームによって悪用IFrame.FileDownloadの脆弱性が存在する場合、ワームはアクティブにクレズとタナトス )。実行されると、 Swenはシステムに自身をインストールし、Propationルーチンを開始します。
2001年3月にリリースされたIFrameの脆弱性に関するパッチ( Microsoft Security Bulletin MS01-20)をダウンロードできます。
ワームは、多くのウイルス対策プログラムやファイアウォールをブロックします。そのアルゴリズムとコードテキストの一部は、 I-Worm.Gibeと呼ばれる別のインターネットワームのアルゴリズムとほぼ同じですが、使用するプログラミング言語は異なります。
インストール
ワームは、最初に起動されると、「Microsoft Internet Update Pack」メッセージボックスを表示することがあります。次に、パッチのインストールを模倣する:
ワームは、以下のいずれかの名前でWindowsディレクトリに自身をコピーします。名前はいくつかの部分で構成されています。
最初の可能性:
- Kazaa Lite
KaZaAメディアデスクトップ
KaZaA
WinRar
WinZip
Winamp
Mirc
ダウンロードアクセラレータ
GetRight FTP
ウィンドウズメディアプレイヤー - キージェネレータ
ハック
ハッキングされた
ワレズ
アップロード
インストーラ
アップロード
インストーラ
2番目の可能性:
- バグベア
ヤハ
ギブ
Sircam
とても大きく
クレーズ - リムーバー
RemovalTool
クリーナー
Fixtool
第3の可能性:
アールハッカー
Yahoo Hacker
Hotmailハッカー
10.000シリアル
ジェナ・ジェイムソン
Hardporn
セックス
Xboxエミュレータ
エミュレータPs2
XPアップデート
Xxx Video
病気のジョーク
Xxxの写真
私の裸の妹
幻覚スクリーンセーバー
カンナビスを使った料理
育つマジックキノコ
ウイルスジェネレータ
新しいファイルは、Windowsシステムレジストリの自動実行キーに登録されます。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ランダムシーケンス=%windir%ファイル名自動実行
ワームの構成設定を含む識別キーが作成されます。
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer ランダムシーケンス
ワームは、WindowsフォルダにBAT拡張子を持つ感染したホストマシンの名前を持つファイルを作成します。このファイルには、次のコマンドが含まれています。
@ECHO OFF
"%1"ではない== "".exe%1
その後、BAT、COM、EXE、PIF、REG、およびSCRファイルタイプが起動されるたびに、HKLMSoftwareClassesのキー値が変更されて実行されます。
HKCRbatfileshellopenコマンド デフォルト=%windir%"%1"%*HKCRcomfileshellopenコマンド デフォルト=%windir% "%1"%* HKEY_CLASSES_ROOTexefileshellopenコマンド デフォルト=%windir% "%1"%*HKCRpiffileshellopenコマンド デフォルト=%windir% "%1"%*HKCRregfileshellopenコマンド デフォルト=%windir% シャワールームHKCRscrfileshellconfigコマンド デフォルト=%windir% "%1" HKCRscrfileshellopenコマンド デフォルト=%windir% "%1" / S
ユーザーのシステムレジストリの編集機能を無効にします。
HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00
ワームは、最初に起動されると、以下のリモートWebサイトにアクセスします。
http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006
このカウンタは、感染したコンピュータの数を示します。
既に感染したマシン上でワームの新しいコピーを実行しようとすると、ワームは次のメッセージを表示します。
ワームは、拡張子がDBX、MDX、EML、WABで、拡張子にHTまたはASPのいずれかを含むファイルをすべてのディスクでスキャンします。 Swemは検索可能な電子メールアドレスを抽出し、 germs0.dbvという名前のファイルに保存します。
ワームは、感染した電子メールを送信するために、 swen1.datファイルで指定されている350台のサーバの1つに接続しようとします。接続が不可能な場合、ワームはMAPI 32例外に関する次のエラーメッセージを表示します。
正しいメールアドレスと正しいSMTPサーバーを要求します。
電子メールによる伝播
ワームは、SMTPサーバーへの直接接続を使用して、使用可能なすべてのアドレスに自分自身をメールします。感染した電子メールはHTML形式であり、添付ファイル(実際のワーム)を含んでいます。
送信者名(複数の部分で構成):
- マイクロソフト
ミズ - (使用しないでください)
株式会社 - (使用しないでください)
プログラム
インターネット
ネットワーク - (常にパート3に含まれています)
セキュリティ - (使用しないでください)
分割
セクション
部門
センター - (使用しないでください)
パブリック
テクニカル
顧客 - (使用しないでください)
掲示板
サービス
援助
サポート
例えば:
Microsoftインターネットセキュリティセクション
MSテクニカルアシスタンス
送信者アドレス(2部構成):
- "@"の前に:ランダムシーケンス(例:tuevprkpevcg-gxwi @、dwffa @);
- "@"の後:2つの部分で構成されています(1つしか使用できません)。
- ニュース
ニュースレター
広報
信頼
顧問
更新
テクニテ
サポート - msdn
マイクロソフト
ミズ
MSN
例: "newsletter.microsoft"または単に "support"。 2つの部分が使用されている場合、「。」または「_」で区切られます。
後に "。"ドメインは「com」または「net」のいずれかです。
- ニュース
件名(さまざまな部分で構成されています):
- 最新
新しい
最終
最新
現在 - ネット
ネットワーク
マイクロソフト
インターネット - セキュリティ
クリティカル - アップグレード
パック
更新
パッチ
体:
MSクライアント(コンシューマー、パートナー、ユーザー - ランダムに選択)
これはセキュリティ更新プログラムの最新バージョンです。
"2003年9月、累積的な修正プログラム"の更新
すべての既知のセキュリティ上の脆弱性
MSインターネットエクスプローラ、MS OutlookとMS Outlook Express。
今すぐインストールしてコンピュータを保護する
これらの脆弱性の中で、最も深刻なものは
攻撃者がシステム上でコードを実行できるようにします。
このアップデートには、機能=
以前にリリースされたすべてのパッチのシステム要件:Windows 95/98 / Me / 2000 / NT / XP
この更新プログラムは、
- MS Internet Explorerバージョン4.01以降
- MS Outlook、バージョン8.00以降
- MS Outlook Express、バージョン4.01以降推奨事項:お客様はパッチをインストールする必要があります=
最も早い機会に
インストール方法:添付ファイルを実行します。表示されたダイアログボックスで[はい]を選択します。
使用方法:このアイテムのインストール後に何もする必要はありません。
署名:
マイクロソフト製品サポートサービスおよびナレッジベースの記事=
マイクロソフトテクニカルサポートのWebサイトにあります。
http://support.microsoft.com/Microsoft製品に関するセキュリティ関連の情報については、
マイクロソフトセキュリティアドバイザのWebサイトを参照してください
http://www.microsoft.com/security/マイクロソフト製品をご利用いただきありがとうございます。
このメッセージに返信しないでください。
監視されていない電子メールアドレスから送信され、
すべての返信に応答します。----------------------------------------------
言及された実際の会社と製品の名前=
それぞれの所有者の商標です。
添付ファイル名:
パッチ[乱数] .exe
[乱数]をインストールする.exe
q [乱数] .exe
アップデート[乱数] .exe
身体の実際の内容は、様々な状況に応じて、より複雑でなくてもよい。
- 件名には以下が含まれます:
文字
助言
メッセージ
発表
報告する
通知
バグ
エラー
アボート
失敗
ユーザー不明 - 本文には以下が含まれます:
こんにちは!
これがqmailプログラムです
[ランダム値]からのメッセージ
ごめんなさい
私はそれを知らせなくてはならない
私は怖いです
私はあなたのメッセージを以下のアドレスに届けることができませんでした
下に返されたメッセージを配信できませんでした
私はあなたのメッセージを伝えることができませんでした
1つ以上の目的地へ
ワームは、ZIPやRARなどのアーカイブ形式で自身のコピーを送信することもあります。
カザー経由の伝播
スーザンは、Kazaa Liteのファイル交換ディレクトリにあるランダムな名前で自分自身をコピーすることで、Kazaaファイル共有ネットワークを介して伝播します。また、Windows Tempフォルダにランダムな名前のサブディレクトリを作成して、ランダムな名前のファイルをいくつかコピーします。
このフォルダは、Windowsシステムレジストリで、Kazaaファイル共有システムのローカルコンテンツとして識別されます。
HKCUSoftwareKazaaLocalContent dir99 = 012345:%Windir %% temp%フォルダ名
その結果、Swenによって作成された新しいファイルは、他のKazaaネットワークユーザが利用できるようになります。
IRCチャネルによる伝播
ワームは、インストールされているmIRCクライアントをスキャンします。検出された場合、Swenはその伝播手順を追加してscript.iniファイルを変更します。 scrip.iniファイルは感染したファイルをWindowsディレクトリから現在感染しているIRCチャネルに接続するすべてのユーザーに送信します。
LAN経由での伝播
ワームは利用可能なすべてのドライブをスキャンします。ネットワークドライブが見つかった場合は、以下のフォルダにランダムな名前で自分自身をコピーします。
windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
ドキュメントと設定全ユーザスタートアッププログラムの起動
ドキュメントと設定defaultsユーザーのスタートアッププログラムの起動
ドキュメントと設定管理者のスタートアップを開始する
winntprofilesallユーザースタートアッププログラムの起動
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup
その他
ワームは、さまざまなアンチウイルスソフトウェアやファイアウォールの立ち上げや動作をブロックしようとします。
_avpackwin32反トロイの木馬aplica32apvxdwinオートタウンavconsolave32avgcc32avgctrl平均avkservavntavpavsched32avwin95avwupd32黒人黒髪ブートワーンccappccshtdwncfiadmincfiauditcfindカフェクロー95dv95エコエンジンefinet32騒がしいespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwfストップウギブiamappiamservibmasnibmavspicload95icloadnticmonアイクヌーンicssuppnticsuppIfaceiomon98ジェダイ
kpfw32ロックダウン2000外を見るルアール羊毛mpftraymsconfignai_vs_statnavapw32navlu32navntナビゲートnavwニスムナイン規範主義者更新日ナップグレードnvc95前哨パッドミンpavclパヴェシュシュパブプラチナpccmainpccwin98pcfwalliconpersfwpop3trappviewレイヴregeditレスキューsafewebserv95スフィンクススイープtcatds2vcleanervcontrolvet32vet95vet98ヴェトレーvscanvsecomrvshwin32vsstatウェブトラップwfindv32ザプロゾーンアラーム
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com