本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス
Email-Worm
プラットフォーム
Win32

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

Swenは非常に危険なワームウイルスで、電子メール(感染ファイル添付ファイルの形式)、Kazaaファイル共有ネットワーク、IRCチャネル、およびオープンネットワークリソースを介してインターネットに広がります。

SWENは、Microsoft Visual C ++で書かれ、サイズが105キロバイト(106496バイト)です。

被害者が感染したファイル(添付ファイルをダブルクリック)を起動したときや、被害者のマシンの電子メールアプリケーションは、(また、インターネットワームによって悪用IFrame.FileDownloadの脆弱性が存在する場合、ワームはアクティブにクレズタナトス )。実行されると、 Swenはシステムに自身をインストールし、Propationルーチンを開始します。

2001年3月にリリースされたIFrameの脆弱性に関するパッチ( Microsoft Security Bulletin MS01-20)をダウンロードできます。

ワームは、多くのウイルス対策プログラムやファイアウォールをブロックします。そのアルゴリズムとコードテキストの一部は、 I-Worm.Gibeと呼ばれる別のインターネットワームのアルゴリズムとほぼ同じですが、使用するプログラミング言語は異なります。


インストール

ワームは、最初に起動されると、「Microsoft Internet Update Pack」メッセージボックスを表示することがあります。次に、パッチのインストールを模倣する:

ワームは、以下のいずれかの名前でWindowsディレクトリに自身をコピーします。名前はいくつかの部分で構成されています。

最初の可能性:

  1. Kazaa Lite
    KaZaAメディアデスクトップ
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    ダウンロードアクセラレータ
    GetRight FTP
    ウィンドウズメディアプレイヤー

  2. キージェネレータ
    ハック
    ハッキングされた
    ワレズ
    アップロード
    インストーラ
    アップロード
    インストーラ

2番目の可能性:

  1. バグベア
    ヤハ
    ギブ
    Sircam
    とても大きく
    クレーズ

  2. リムーバー
    RemovalTool
    クリーナー
    Fixtool

第3の可能性:

アールハッカー
Yahoo Hacker
Hotmailハッカー
10.000シリアル
ジェナ・ジェイムソン
Hardporn
セックス
Xboxエミュレータ
エミュレータPs2
XPアップデート
Xxx Video
病気のジョーク
Xxxの写真
私の裸の妹
幻覚スクリーンセーバー
カンナビスを使った料理
育つマジックキノコ
ウイルスジェネレータ

新しいファイルは、Windowsシステムレジストリの自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun  ランダムシーケンス=%windir%ファイル名自動実行

ワームの構成設定を含む識別キーが作成されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer  ランダムシーケンス

ワームは、WindowsフォルダにBAT拡張子を持つ感染したホストマシンの名前を持つファイルを作成します。このファイルには、次のコマンドが含まれています。

@ECHO OFF
"%1"ではない== "" .exe%1

その後、BAT、COM、EXE、PIF、REG、およびSCRファイルタイプが起動されるたびに、HKLMSoftwareClassesのキー値が変更されて実行されます。

 HKCRbatfileshellopenコマンド  デフォルト=%windir%  "%1"%*HKCRcomfileshellopenコマンド  デフォルト=%windir%  "%1"%*   HKEY_CLASSES_ROOTexefileshellopenコマンド  デフォルト=%windir%  "%1"%*HKCRpiffileshellopenコマンド  デフォルト=%windir%  "%1"%*HKCRregfileshellopenコマンド  デフォルト=%windir% シャワールームHKCRscrfileshellconfigコマンド  デフォルト=%windir%  "%1"  HKCRscrfileshellopenコマンド  デフォルト=%windir%  "%1" / S 

ユーザーのシステムレジストリの編集機能を無効にします。

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem  DisableRegistryTools = 01 00 00 00 

ワームは、最初に起動されると、以下のリモートWebサイトにアクセスします。

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

このカウンタは、感染したコンピュータの数を示します。

既に感染したマシン上でワームの新しいコピーを実行しようとすると、ワームは次のメッセージを表示します。

ワームは、拡張子がDBX、MDX、EML、WABで、拡張子にHTまたはASPのいずれかを含むファイルをすべてのディスクでスキャンします。 Swemは検索可能な電子メールアドレスを抽出し、 germs0.dbvという名前のファイルに保存します。

ワームは、感染した電子メールを送信するために、 swen1.datファイルで指定されている350台のサーバの1つに接続しようとします。接続が不可能な場合、ワームはMAPI 32例外に関する次のエラーメッセージを表示します。

正しいメールアドレスと正しいSMTPサーバーを要求します。


電子メールによる伝播

ワームは、SMTPサーバーへの直接接続を使用して、使用可能なすべてのアドレスに自分自身をメールします。感染した電子メールはHTML形式であり、添付ファイル(実際のワーム)を含んでいます。

送信者名(複数の部分で構成):

  1. マイクロソフト
    ミズ

  2. (使用しないでください)
    株式会社

  3. (使用しないでください)
    プログラム
    インターネット
    ネットワーク

  4. (常にパート3に含まれています)
    セキュリティ

  5. (使用しないでください)
    分割
    セクション
    部門
    センター

  6. (使用しないでください)
    パブリック
    テクニカル
    顧客

  7. (使用しないでください)
    掲示板
    サービス
    援助
    サポート

例えば:

Microsoftインターネットセキュリティセクション
MSテクニカルアシスタンス

送信者アドレス(2部構成):

  • "@"の前に:ランダムシーケンス(例:tuevprkpevcg-gxwi @、dwffa @);
  • "@"の後:2つの部分で構成されています(1つしか使用できません)。

    1. ニュース
      ニュースレター
      広報
      信頼
      顧問
      更新
      テクニテ
      サポート

    2. msdn
      マイクロソフト
      ミズ
      MSN

    例: "newsletter.microsoft"または単に "support"。 2つの部分が使用されている場合、「。」または「_」で区切られます。

    後に "。"ドメインは「com」または「net」のいずれかです。

件名(さまざまな部分で構成されています):

  1. 最新
    新しい
    最終
    最新
    現在

  2. ネット
    ネットワーク
    マイクロソフト
    インターネット

  3. セキュリティ
    クリティカル

  4. アップグレード
    パック
    更新
    パッチ

体:

MSクライアント(コンシューマー、パートナー、ユーザー - ランダムに選択)
これはセキュリティ更新プログラムの最新バージョンです。
"2003年9月、累積的な修正プログラム"の更新
すべての既知のセキュリティ上の脆弱性
MSインターネットエクスプローラ、MS OutlookとMS Outlook Express。
今すぐインストールしてコンピュータを保護する
これらの脆弱性の中で、最も深刻なものは
攻撃者がシステム上でコードを実行できるようにします。
このアップデートには、機能=
以前にリリースされたすべてのパッチの

システム要件:Windows 95/98 / Me / 2000 / NT / XP
この更新プログラムは、
- MS Internet Explorerバージョン4.01以降
- MS Outlook、バージョン8.00以降
- MS Outlook Express、バージョン4.01以降

推奨事項:お客様はパッチをインストールする必要があります=
最も早い機会に
インストール方法:添付ファイルを実行します。表示されたダイアログボックスで[はい]を選択します。
使用方法:このアイテムのインストール後に何もする必要はありません。

署名:

マイクロソフト製品サポートサービスおよびナレッジベースの記事=
マイクロソフトテクニカルサポートのWebサイトにあります。
http://support.microsoft.com/

Microsoft製品に関するセキュリティ関連の情報については、
マイクロソフトセキュリティアドバイザのWebサイトを参照してください
http://www.microsoft.com/security/

マイクロソフト製品をご利用いただきありがとうございます。

このメッセージに返信しないでください。
監視されていない電子メールアドレスから送信され、
すべての返信に応答します。

----------------------------------------------
言及された実際の会社と製品の名前=
それぞれの所有者の商標です。

添付ファイル名:

パッチ[乱数] .exe
[乱数]をインストールする.exe
q [乱数] .exe
アップデート[乱数] .exe

身体の実際の内容は、様々な状況に応じて、より複雑でなくてもよい。

  • 件名には以下が含まれます:

    文字
    助言
    メッセージ
    発表
    報告する
    通知
    バグ
    エラー
    アボート
    失敗
    ユーザー不明

  • 本文には以下が含まれます:

    こんにちは!
    これがqmailプログラムです
    [ランダム値]からのメッセージ
    ごめんなさい
    私はそれを知らせなくてはならない
    私は怖いです
    私はあなたのメッセージを以下のアドレスに届けることができませんでした
    下に返されたメッセージを配信できませんでした
    私はあなたのメッセージを伝えることができませんでした
    1つ以上の目的地へ

ワームは、ZIPやRARなどのアーカイブ形式で自身のコピーを送信することもあります。


カザー経由の伝播

スーザンは、Kazaa Liteのファイル交換ディレクトリにあるランダムな名前で自分自身をコピーすることで、Kazaaファイル共有ネットワークを介して伝播します。また、Windows Tempフォルダにランダムな名前のサブディレクトリを作成して、ランダムな名前のファイルをいくつかコピーします。

このフォルダは、Windowsシステムレジストリで、Kazaaファイル共有システムのローカルコンテンツとして識別されます。

 HKCUSoftwareKazaaLocalContent dir99 = 012345:%Windir %% temp%フォルダ名

その結果、Swenによって作成された新しいファイルは、他のKazaaネットワークユーザが利用できるようになります。


IRCチャネルによる伝播

ワームは、インストールされているmIRCクライアントをスキャンします。検出された場合、Swenはその伝播手順を追加してscript.iniファイルを変更します。 scrip.iniファイルは感染したファイルをWindowsディレクトリから現在感染しているIRCチャネルに接続するすべてのユーザーに送信します。


LAN経由での伝播

ワームは利用可能なすべてのドライブをスキャンします。ネットワークドライブが見つかった場合は、以下のフォルダにランダムな名前で自分自身をコピーします。

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
ドキュメントと設定全ユーザスタートアッププログラムの起動
ドキュメントと設定defaultsユーザーのスタートアッププログラムの起動
ドキュメントと設定管理者のスタートアップを開始する
winntprofilesallユーザースタートアッププログラムの起動
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup


その他

ワームは、さまざまなアンチウイルスソフトウェアやファイアウォールの立ち上げや動作をブロックしようとします。

 _avpackwin32反トロイの木馬aplica32apvxdwinオートタウンavconsolave32avgcc32avgctrl平均avkservavntavpavsched32avwin95avwupd32黒人黒髪ブートワーンccappccshtdwncfiadmincfiauditcfindカフェクロー95dv95エコエンジンefinet32騒がしいespwatchf-agnt95findvirufprotf-protfprot95f-prot95fp-winfrwfストップウギブiamappiamservibmasnibmavspicload95icloadnticmonアイクヌーンicssuppnticsuppIfaceiomon98ジェダイ
 kpfw32ロックダウン2000外を見るルアール羊毛mpftraymsconfignai_vs_statnavapw32navlu32navntナビゲートnavwニスムナイン規範主義者更新日ナップグレードnvc95前哨パッドミンpavclパヴェシュシュパブプラチナpccmainpccwin98pcfwalliconpersfwpop3trappviewレイヴregeditレスキューsafewebserv95スフィンクススイープtcatds2vcleanervcontrolvet32vet95vet98ヴェトレーvscanvsecomrvshwin32vsstatウェブトラップwfindv32ザプロゾーンアラーム
これらが起動されるとSWENは 、次の偽のエラーメッセージを指定を表示します。



も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
カスペルスキープレミアム
デバイス、オンラインプライバシー、個人情報を完全に保護
プレミアム
Confirm changes?
Your message has been sent successfully.