Searching
..

Click anywhere to stop

本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Swen

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

Swenは非常に危険なワームウイルスで、電子メール(感染ファイル添付ファイルの形式)、Kazaaファイル共有ネットワーク、IRCチャネル、およびオープンネットワークリソースを介してインターネットに広がります。

SWENは、Microsoft Visual C ++で書かれ、サイズが105キロバイト(106496バイト)です。

被害者が感染したファイル(添付ファイルをダブルクリック)を起動したときや、被害者のマシンの電子メールアプリケーションは、(また、インターネットワームによって悪用IFrame.FileDownloadの脆弱性が存在する場合、ワームはアクティブにクレズタナトス )。実行されると、 Swenはシステムに自身をインストールし、Propationルーチンを開始します。

2001年3月にリリースされたIFrameの脆弱性に関するパッチ( Microsoft Security Bulletin MS01-20)をダウンロードできます。

ワームは、多くのウイルス対策プログラムやファイアウォールをブロックします。そのアルゴリズムとコードテキストの一部は、 I-Worm.Gibeと呼ばれる別のインターネットワームのアルゴリズムとほぼ同じですが、使用するプログラミング言語は異なります。

インストール

ワームは、最初に起動されると、「Microsoft Internet Update Pack」メッセージボックスを表示することがあります。次に、パッチのインストールを模倣する:

ワームは、以下のいずれかの名前でWindowsディレクトリに自身をコピーします。名前はいくつかの部分で構成されています。

最初の可能性:

  1. Kazaa Lite
    KaZaAメディアデスクトップ
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    ダウンロードアクセラレータ
    GetRight FTP
    ウィンドウズメディアプレイヤー
  2. キージェネレータ
    ハック
    ハッキングされた
    ワレズ
    アップロード
    インストーラ
    アップロード
    インストーラ

2番目の可能性:

  1. バグベア
    ヤハ
    ギブ
    Sircam
    とても大きく
    クレーズ
  2. リムーバー
    RemovalTool
    クリーナー
    Fixtool

第3の可能性:

アールハッカー
Yahoo Hacker
Hotmailハッカー
10.000シリアル
ジェナ・ジェイムソン
Hardporn
セックス
Xboxエミュレータ
エミュレータPs2
XPアップデート
Xxx Video
病気のジョーク
Xxxの写真
私の裸の妹
幻覚スクリーンセーバー
カンナビスを使った料理
育つマジックキノコ
ウイルスジェネレータ

新しいファイルは、Windowsシステムレジストリの自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  ランダムシーケンス=%windir%ファイル名自動実行

ワームの構成設定を含む識別キーが作成されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  ランダムシーケンス

ワームは、WindowsフォルダにBAT拡張子を持つ感染したホストマシンの名前を持つファイルを作成します。このファイルには、次のコマンドが含まれています。

@ECHO OFF
"%1"ではない== "" .exe%1

その後、BAT、COM、EXE、PIF、REG、およびSCRファイルタイプが起動されるたびに、HKLMSoftwareClassesのキー値が変更されて実行されます。

 HKCRbatfileshellopenコマンド  デフォルト=%windir%  "%1"%*HKCRcomfileshellopenコマンド  デフォルト=%windir%  "%1"%*   HKEY_CLASSES_ROOTexefileshellopenコマンド  デフォルト=%windir%  "%1"%*HKCRpiffileshellopenコマンド  デフォルト=%windir%  "%1"%*HKCRregfileshellopenコマンド  デフォルト=%windir% シャワールームHKCRscrfileshellconfigコマンド  デフォルト=%windir%  "%1"  HKCRscrfileshellopenコマンド  デフォルト=%windir%  "%1" / S 

ユーザーのシステムレジストリの編集機能を無効にします。

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

ワームは、最初に起動されると、以下のリモートWebサイトにアクセスします。

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

このカウンタは、感染したコンピュータの数を示します。

既に感染したマシン上でワームの新しいコピーを実行しようとすると、ワームは次のメッセージを表示します。

ワームは、拡張子がDBX、MDX、EML、WABで、拡張子にHTまたはASPのいずれかを含むファイルをすべてのディスクでスキャンします。 Swemは検索可能な電子メールアドレスを抽出し、 germs0.dbvという名前のファイルに保存します。

ワームは、感染した電子メールを送信するために、 swen1.datファイルで指定されている350台のサーバの1つに接続しようとします。接続が不可能な場合、ワームはMAPI 32例外に関する次のエラーメッセージを表示します。

正しいメールアドレスと正しいSMTPサーバーを要求します。

電子メールによる伝播

ワームは、SMTPサーバーへの直接接続を使用して、使用可能なすべてのアドレスに自分自身をメールします。感染した電子メールはHTML形式であり、添付ファイル(実際のワーム)を含んでいます。

送信者名(複数の部分で構成):

  1. マイクロソフト
    ミズ
  2. (使用しないでください)
    株式会社
  3. (使用しないでください)
    プログラム
    インターネット
    ネットワーク
  4. (常にパート3に含まれています)
    セキュリティ
  5. (使用しないでください)
    分割
    セクション
    部門
    センター
  6. (使用しないでください)
    パブリック
    テクニカル
    顧客
  7. (使用しないでください)
    掲示板
    サービス
    援助
    サポート

例えば:

Microsoftインターネットセキュリティセクション
MSテクニカルアシスタンス

送信者アドレス(2部構成):

  • "@"の前に:ランダムシーケンス(例:tuevprkpevcg-gxwi @、dwffa @);
  • "@"の後:2つの部分で構成されています(1つしか使用できません)。
    1. ニュース
      ニュースレター
      広報
      信頼
      顧問
      更新
      テクニテ
      サポート
    2. msdn
      マイクロソフト
      ミズ
      MSN

    例: "newsletter.microsoft"または単に "support"。 2つの部分が使用されている場合、「。」または「_」で区切られます。

    後に "。"ドメインは「com」または「net」のいずれかです。

件名(さまざまな部分で構成されています):

  1. 最新
    新しい
    最終
    最新
    現在
  2. ネット
    ネットワーク
    マイクロソフト
    インターネット
  3. セキュリティ
    クリティカル
  4. アップグレード
    パック
    更新
    パッチ

体:

MSクライアント(コンシューマー、パートナー、ユーザー – ランダムに選択)
これはセキュリティ更新プログラムの最新バージョンです。
"2003年9月、累積的な修正プログラム"の更新
すべての既知のセキュリティ上の脆弱性
MSインターネットエクスプローラ、MS OutlookとMS Outlook Express。
今すぐインストールしてコンピュータを保護する
これらの脆弱性の中で、最も深刻なものは
攻撃者がシステム上でコードを実行できるようにします。
このアップデートには、機能=
以前にリリースされたすべてのパッチの

システム要件:Windows 95/98 / Me / 2000 / NT / XP
この更新プログラムは、
– MS Internet Explorerバージョン4.01以降
– MS Outlook、バージョン8.00以降
– MS Outlook Express、バージョン4.01以降

推奨事項:お客様はパッチをインストールする必要があります=
最も早い機会に
インストール方法:添付ファイルを実行します。表示されたダイアログボックスで[はい]を選択します。
使用方法:このアイテムのインストール後に何もする必要はありません。

署名:

マイクロソフト製品サポートサービスおよびナレッジベースの記事=
マイクロソフトテクニカルサポートのWebサイトにあります。
http://support.microsoft.com/

Microsoft製品に関するセキュリティ関連の情報については、
マイクロソフトセキュリティアドバイザのWebサイトを参照してください
http://www.microsoft.com/security/

マイクロソフト製品をご利用いただきありがとうございます。

このメッセージに返信しないでください。
監視されていない電子メールアドレスから送信され、
すべての返信に応答します。

———————————————-
言及された実際の会社と製品の名前=
それぞれの所有者の商標です。

添付ファイル名:

パッチ[乱数] .exe
[乱数]をインストールする.exe
q [乱数] .exe
アップデート[乱数] .exe

身体の実際の内容は、様々な状況に応じて、より複雑でなくてもよい。

  • 件名には以下が含まれます:

    文字
    助言
    メッセージ
    発表
    報告する
    通知
    バグ
    エラー
    アボート
    失敗
    ユーザー不明

  • 本文には以下が含まれます:

    こんにちは!
    これがqmailプログラムです
    [ランダム値]からのメッセージ
    ごめんなさい
    私はそれを知らせなくてはならない
    私は怖いです
    私はあなたのメッセージを以下のアドレスに届けることができませんでした
    下に返されたメッセージを配信できませんでした
    私はあなたのメッセージを伝えることができませんでした
    1つ以上の目的地へ

ワームは、ZIPやRARなどのアーカイブ形式で自身のコピーを送信することもあります。

カザー経由の伝播

スーザンは、Kazaa Liteのファイル交換ディレクトリにあるランダムな名前で自分自身をコピーすることで、Kazaaファイル共有ネットワークを介して伝播します。また、Windows Tempフォルダにランダムな名前のサブディレクトリを作成して、ランダムな名前のファイルをいくつかコピーします。

このフォルダは、Windowsシステムレジストリで、Kazaaファイル共有システムのローカルコンテンツとして識別されます。

 HKCUSoftwareKazaaLocalContent dir99 = 012345:%Windir %% temp%フォルダ名

その結果、Swenによって作成された新しいファイルは、他のKazaaネットワークユーザが利用できるようになります。

IRCチャネルによる伝播

ワームは、インストールされているmIRCクライアントをスキャンします。検出された場合、Swenはその伝播手順を追加してscript.iniファイルを変更します。 scrip.iniファイルは感染したファイルをWindowsディレクトリから現在感染しているIRCチャネルに接続するすべてのユーザーに送信します。

LAN経由での伝播

ワームは利用可能なすべてのドライブをスキャンします。ネットワークドライブが見つかった場合は、以下のフォルダにランダムな名前で自分自身をコピーします。

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
ドキュメントと設定全ユーザスタートアッププログラムの起動
ドキュメントと設定defaultsユーザーのスタートアッププログラムの起動
ドキュメントと設定管理者のスタートアップを開始する
winntprofilesallユーザースタートアッププログラムの起動
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

その他

ワームは、さまざまなアンチウイルスソフトウェアやファイアウォールの立ち上げや動作をブロックしようとします。

 _avpackwin32反トロイの木馬aplica32apvxdwinオートタウンavconsolave32avgcc32avgctrl平均avkservavntavpavsched32avwin95avwupd32黒人黒髪ブートワーンccappccshtdwncfiadmincfiauditcfindカフェクロー95dv95エコエンジンefinet32騒がしいespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwfストップウギブiamappiamservibmasnibmavspicload95icloadnticmonアイクヌーンicssuppnticsuppIfaceiomon98ジェダイ
 kpfw32ロックダウン2000外を見るルアール羊毛mpftraymsconfignai_vs_statnavapw32navlu32navntナビゲートnavwニスムナイン規範主義者更新日ナップグレードnvc95前哨パッドミンpavclパヴェシュシュパブプラチナpccmainpccwin98pcfwalliconpersfwpop3trappviewレイヴregeditレスキューsafewebserv95スフィンクススイープtcatds2vcleanervcontrolvet32vet95vet98ヴェトレーvscanvsecomrvshwin32vsstatウェブトラップwfindv32ザプロゾーンアラーム

これらが起動されるとSWENは 、次の偽のエラーメッセージを指定を表示します。


オリジナルへのリンク
お住まいの地域に広がる脅威の統計をご覧ください