Email-Worm.Win32.Swen

技術的な詳細

Swenは非常に危険なワームウイルスで、電子メール（感染ファイル添付ファイルの形式）、Kazaaファイル共有ネットワーク、IRCチャネル、およびオープンネットワークリソースを介してインターネットに広がります。

SWENは、Microsoft Visual C ++で書かれ、サイズが105キロバイト（106496バイト）です。

被害者が感染したファイル（添付ファイルをダブルクリック）を起動したときや、被害者のマシンの電子メールアプリケーションは、（また、インターネットワームによって悪用IFrame.FileDownloadの脆弱性が存在する場合、ワームはアクティブにクレズとタナトス ）。実行されると、 Swenはシステムに自身をインストールし、Propationルーチンを開始します。

2001年3月にリリースされたIFrameの脆弱性に関するパッチ（ Microsoft Security Bulletin MS01-20）をダウンロードできます。

ワームは、多くのウイルス対策プログラムやファイアウォールをブロックします。そのアルゴリズムとコードテキストの一部は、 I-Worm.Gibeと呼ばれる別のインターネットワームのアルゴリズムとほぼ同じですが、使用するプログラミング言語は異なります。

インストール

ワームは、最初に起動されると、「Microsoft Internet Update Pack」メッセージボックスを表示することがあります。次に、パッチのインストールを模倣する：

ワームは、以下のいずれかの名前でWindowsディレクトリに自身をコピーします。名前はいくつかの部分で構成されています。

最初の可能性：

1. Kazaa Lite
   KaZaAメディアデスクトップ
   KaZaA
   WinRar
   WinZip
   Winamp
   Mirc
   ダウンロードアクセラレータ
   GetRight FTP
   ウィンドウズメディアプレイヤー
2. キージェネレータ
   ハック
   ハッキングされた
   ワレズ
   アップロード
   インストーラ
   アップロード
   インストーラ

2番目の可能性：

1. バグベア
   ヤハ
   ギブ
   Sircam
   とても大きく
   クレーズ
2. リムーバー
   RemovalTool
   クリーナー
   Fixtool

第3の可能性：

アールハッカー
Yahoo Hacker
Hotmailハッカー
10.000シリアル
ジェナ・ジェイムソン
Hardporn
セックス
Xboxエミュレータ
エミュレータPs2
XPアップデート
Xxx Video
病気のジョーク
Xxxの写真
私の裸の妹
幻覚スクリーンセーバー
カンナビスを使った料理
育つマジックキノコ
ウイルスジェネレータ

新しいファイルは、Windowsシステムレジストリの自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  ランダムシーケンス=％windir％ファイル名自動実行

ワームの構成設定を含む識別キーが作成されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  ランダムシーケンス

ワームは、WindowsフォルダにBAT拡張子を持つ感染したホストマシンの名前を持つファイルを作成します。このファイルには、次のコマンドが含まれています。

@ECHO OFF
"％1"ではない== "" .exe％1

その後、BAT、COM、EXE、PIF、REG、およびSCRファイルタイプが起動されるたびに、HKLMSoftwareClassesのキー値が変更されて実行されます。

 HKCRbatfileshellopenコマンド
  デフォルト=％windir％  "％1"％*

HKCRcomfileshellopenコマンド
  デフォルト=％windir％  "％1"％*
   
HKEY_CLASSES_ROOTexefileshellopenコマンド
  デフォルト=％windir％  "％1"％*

HKCRpiffileshellopenコマンド
  デフォルト=％windir％  "％1"％*

HKCRregfileshellopenコマンド
  デフォルト=％windir％ シャワールーム

HKCRscrfileshellconfigコマンド
  デフォルト=％windir％  "％1"
  
HKCRscrfileshellopenコマンド
  デフォルト=％windir％  "％1" / S 

ユーザーのシステムレジストリの編集機能を無効にします。

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00 

ワームは、最初に起動されると、以下のリモートWebサイトにアクセスします。

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

このカウンタは、感染したコンピュータの数を示します。

既に感染したマシン上でワームの新しいコピーを実行しようとすると、ワームは次のメッセージを表示します。

ワームは、拡張子がDBX、MDX、EML、WABで、拡張子にHTまたはASPのいずれかを含むファイルをすべてのディスクでスキャンします。 Swemは検索可能な電子メールアドレスを抽出し、 germs0.dbvという名前のファイルに保存します。

ワームは、感染した電子メールを送信するために、 swen1.datファイルで指定されている350台のサーバの1つに接続しようとします。接続が不可能な場合、ワームはMAPI 32例外に関する次のエラーメッセージを表示します。

正しいメールアドレスと正しいSMTPサーバーを要求します。

電子メールによる伝播

ワームは、SMTPサーバーへの直接接続を使用して、使用可能なすべてのアドレスに自分自身をメールします。感染した電子メールはHTML形式であり、添付ファイル（実際のワーム）を含んでいます。

送信者名（複数の部分で構成）：

1. マイクロソフト
   ミズ
2. （使用しないでください）
   株式会社
3. （使用しないでください）
   プログラム
   インターネット
   ネットワーク
4. （常にパート3に含まれています）
   セキュリティ
5. （使用しないでください）
   分割
   セクション
   部門
   センター
6. （使用しないでください）
   パブリック
   テクニカル
   顧客
7. （使用しないでください）
   掲示板
   サービス
   援助
   サポート

例えば：

Microsoftインターネットセキュリティセクション
MSテクニカルアシスタンス

送信者アドレス（2部構成）：

• "@"の前に：ランダムシーケンス（例：tuevprkpevcg-gxwi @、dwffa @）;
• "@"の後：2つの部分で構成されています（1つしか使用できません）。
  1. ニュース
     ニュースレター
     広報
     信頼
     顧問
     更新
     テクニテ
     サポート
  2. msdn
     マイクロソフト
     ミズ
     MSN

  例： "newsletter.microsoft"または単に "support"。 2つの部分が使用されている場合、「。」または「_」で区切られます。

  後に "。"ドメインは「com」または「net」のいずれかです。

件名（さまざまな部分で構成されています）：

1. 最新
   新しい
   最終
   最新
   現在
2. ネット
   ネットワーク
   マイクロソフト
   インターネット
3. セキュリティ
   クリティカル
4. アップグレード
   パック
   更新
   パッチ

体：

MSクライアント（コンシューマー、パートナー、ユーザー – ランダムに選択）
これはセキュリティ更新プログラムの最新バージョンです。
"2003年9月、累積的な修正プログラム"の更新
すべての既知のセキュリティ上の脆弱性
MSインターネットエクスプローラ、MS OutlookとMS Outlook Express。
今すぐインストールしてコンピュータを保護する
これらの脆弱性の中で、最も深刻なものは
攻撃者がシステム上でコードを実行できるようにします。
このアップデートには、機能=
以前にリリースされたすべてのパッチの

システム要件：Windows 95/98 / Me / 2000 / NT / XP
この更新プログラムは、
– MS Internet Explorerバージョン4.01以降
– MS Outlook、バージョン8.00以降
– MS Outlook Express、バージョン4.01以降

推奨事項：お客様はパッチをインストールする必要があります=
最も早い機会に
インストール方法：添付ファイルを実行します。表示されたダイアログボックスで[はい]を選択します。
使用方法：このアイテムのインストール後に何もする必要はありません。

署名：

マイクロソフト製品サポートサービスおよびナレッジベースの記事=
マイクロソフトテクニカルサポートのWebサイトにあります。
http://support.microsoft.com/

Microsoft製品に関するセキュリティ関連の情報については、
マイクロソフトセキュリティアドバイザのWebサイトを参照してください
http://www.microsoft.com/security/

マイクロソフト製品をご利用いただきありがとうございます。

このメッセージに返信しないでください。
監視されていない電子メールアドレスから送信され、
すべての返信に応答します。

———————————————-
言及された実際の会社と製品の名前=
それぞれの所有者の商標です。

添付ファイル名：

パッチ[乱数] .exe
[乱数]をインストールする.exe
q [乱数] .exe
アップデート[乱数] .exe

身体の実際の内容は、様々な状況に応じて、より複雑でなくてもよい。

• 件名には以下が含まれます：
  

  文字
  助言
  メッセージ
  発表
  報告する
  通知
  バグ
  エラー
  アボート
  失敗
  ユーザー不明

• 本文には以下が含まれます：
  

  こんにちは！
  これがqmailプログラムです
  [ランダム値]からのメッセージ
  ごめんなさい
  私はそれを知らせなくてはならない
  私は怖いです
  私はあなたのメッセージを以下のアドレスに届けることができませんでした
  下に返されたメッセージを配信できませんでした
  私はあなたのメッセージを伝えることができませんでした
  1つ以上の目的地へ

ワームは、ZIPやRARなどのアーカイブ形式で自身のコピーを送信することもあります。

カザー経由の伝播

スーザンは、Kazaa Liteのファイル交換ディレクトリにあるランダムな名前で自分自身をコピーすることで、Kazaaファイル共有ネットワークを介して伝播します。また、Windows Tempフォルダにランダムな名前のサブディレクトリを作成して、ランダムな名前のファイルをいくつかコピーします。

このフォルダは、Windowsシステムレジストリで、Kazaaファイル共有システムのローカルコンテンツとして識別されます。

 HKCUSoftwareKazaaLocalContent
 dir99 = 012345：％Windir %% temp％フォルダ名

その結果、Swenによって作成された新しいファイルは、他のKazaaネットワークユーザが利用できるようになります。

IRCチャネルによる伝播

ワームは、インストールされているmIRCクライアントをスキャンします。検出された場合、Swenはその伝播手順を追加してscript.iniファイルを変更します。 scrip.iniファイルは感染したファイルをWindowsディレクトリから現在感染しているIRCチャネルに接続するすべてのユーザーに送信します。

LAN経由での伝播

ワームは利用可能なすべてのドライブをスキャンします。ネットワークドライブが見つかった場合は、以下のフォルダにランダムな名前で自分自身をコピーします。

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
ドキュメントと設定全ユーザスタートアッププログラムの起動
ドキュメントと設定defaultsユーザーのスタートアッププログラムの起動
ドキュメントと設定管理者のスタートアップを開始する
winntprofilesallユーザースタートアッププログラムの起動
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

その他

ワームは、さまざまなアンチウイルスソフトウェアやファイアウォールの立ち上げや動作をブロックしようとします。

これらが起動されるとSWENは 、次の偽のエラーメッセージを指定を表示します。