本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Swen

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

Swenは非常に危険なワームウイルスで、電子メール(感染ファイル添付ファイルの形式)、Kazaaファイル共有ネットワーク、IRCチャネル、およびオープンネットワークリソースを介してインターネットに広がります。

SWENは、Microsoft Visual C ++で書かれ、サイズが105キロバイト(106496バイト)です。

被害者が感染したファイル(添付ファイルをダブルクリック)を起動したときや、被害者のマシンの電子メールアプリケーションは、(また、インターネットワームによって悪用IFrame.FileDownloadの脆弱性が存在する場合、ワームはアクティブにクレズタナトス )。実行されると、 Swenはシステムに自身をインストールし、Propationルーチンを開始します。

2001年3月にリリースされたIFrameの脆弱性に関するパッチ( Microsoft Security Bulletin MS01-20)をダウンロードできます。

ワームは、多くのウイルス対策プログラムやファイアウォールをブロックします。そのアルゴリズムとコードテキストの一部は、 I-Worm.Gibeと呼ばれる別のインターネットワームのアルゴリズムとほぼ同じですが、使用するプログラミング言語は異なります。

インストール

ワームは、最初に起動されると、「Microsoft Internet Update Pack」メッセージボックスを表示することがあります。次に、パッチのインストールを模倣する:

ワームは、以下のいずれかの名前でWindowsディレクトリに自身をコピーします。名前はいくつかの部分で構成されています。

最初の可能性:

  1. Kazaa Lite
    KaZaAメディアデスクトップ
    KaZaA
    WinRar
    WinZip
    Winamp
    Mirc
    ダウンロードアクセラレータ
    GetRight FTP
    ウィンドウズメディアプレイヤー
  2. キージェネレータ
    ハック
    ハッキングされた
    ワレズ
    アップロード
    インストーラ
    アップロード
    インストーラ

2番目の可能性:

  1. バグベア
    ヤハ
    ギブ
    Sircam
    とても大きく
    クレーズ
  2. リムーバー
    RemovalTool
    クリーナー
    Fixtool

第3の可能性:

アールハッカー
Yahoo Hacker
Hotmailハッカー
10.000シリアル
ジェナ・ジェイムソン
Hardporn
セックス
Xboxエミュレータ
エミュレータPs2
XPアップデート
Xxx Video
病気のジョーク
Xxxの写真
私の裸の妹
幻覚スクリーンセーバー
カンナビスを使った料理
育つマジックキノコ
ウイルスジェネレータ

新しいファイルは、Windowsシステムレジストリの自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  ランダムシーケンス=%windir%ファイル名自動実行

ワームの構成設定を含む識別キーが作成されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer
  ランダムシーケンス

ワームは、WindowsフォルダにBAT拡張子を持つ感染したホストマシンの名前を持つファイルを作成します。このファイルには、次のコマンドが含まれています。

@ECHO OFF
"%1"ではない== "" .exe%1

その後、BAT、COM、EXE、PIF、REG、およびSCRファイルタイプが起動されるたびに、HKLMSoftwareClassesのキー値が変更されて実行されます。

 HKCRbatfileshellopenコマンド
  デフォルト=%windir%  "%1"%*

HKCRcomfileshellopenコマンド
  デフォルト=%windir%  "%1"%*
   
HKEY_CLASSES_ROOTexefileshellopenコマンド
  デフォルト=%windir%  "%1"%*

HKCRpiffileshellopenコマンド
  デフォルト=%windir%  "%1"%*

HKCRregfileshellopenコマンド
  デフォルト=%windir% シャワールーム

HKCRscrfileshellconfigコマンド
  デフォルト=%windir%  "%1"
  
HKCRscrfileshellopenコマンド
  デフォルト=%windir%  "%1" / S 

ユーザーのシステムレジストリの編集機能を無効にします。

 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
  DisableRegistryTools = 01 00 00 00 

ワームは、最初に起動されると、以下のリモートWebサイトにアクセスします。

http://ww2.fce.vutbr.cz/bin/counter.gif/link=bacillus&width=6&set=cnt006

このカウンタは、感染したコンピュータの数を示します。

既に感染したマシン上でワームの新しいコピーを実行しようとすると、ワームは次のメッセージを表示します。

ワームは、拡張子がDBX、MDX、EML、WABで、拡張子にHTまたはASPのいずれかを含むファイルをすべてのディスクでスキャンします。 Swemは検索可能な電子メールアドレスを抽出し、 germs0.dbvという名前のファイルに保存します。

ワームは、感染した電子メールを送信するために、 swen1.datファイルで指定されている350台のサーバの1つに接続しようとします。接続が不可能な場合、ワームはMAPI 32例外に関する次のエラーメッセージを表示します。

正しいメールアドレスと正しいSMTPサーバーを要求します。

電子メールによる伝播

ワームは、SMTPサーバーへの直接接続を使用して、使用可能なすべてのアドレスに自分自身をメールします。感染した電子メールはHTML形式であり、添付ファイル(実際のワーム)を含んでいます。

送信者名(複数の部分で構成):

  1. マイクロソフト
    ミズ
  2. (使用しないでください)
    株式会社
  3. (使用しないでください)
    プログラム
    インターネット
    ネットワーク
  4. (常にパート3に含まれています)
    セキュリティ
  5. (使用しないでください)
    分割
    セクション
    部門
    センター
  6. (使用しないでください)
    パブリック
    テクニカル
    顧客
  7. (使用しないでください)
    掲示板
    サービス
    援助
    サポート

例えば:

Microsoftインターネットセキュリティセクション
MSテクニカルアシスタンス

送信者アドレス(2部構成):

  • "@"の前に:ランダムシーケンス(例:tuevprkpevcg-gxwi @、dwffa @);
  • "@"の後:2つの部分で構成されています(1つしか使用できません)。
    1. ニュース
      ニュースレター
      広報
      信頼
      顧問
      更新
      テクニテ
      サポート
    2. msdn
      マイクロソフト
      ミズ
      MSN

    例: "newsletter.microsoft"または単に "support"。 2つの部分が使用されている場合、「。」または「_」で区切られます。

    後に "。"ドメインは「com」または「net」のいずれかです。

件名(さまざまな部分で構成されています):

  1. 最新
    新しい
    最終
    最新
    現在
  2. ネット
    ネットワーク
    マイクロソフト
    インターネット
  3. セキュリティ
    クリティカル
  4. アップグレード
    パック
    更新
    パッチ

体:

MSクライアント(コンシューマー、パートナー、ユーザー – ランダムに選択)
これはセキュリティ更新プログラムの最新バージョンです。
"2003年9月、累積的な修正プログラム"の更新
すべての既知のセキュリティ上の脆弱性
MSインターネットエクスプローラ、MS OutlookとMS Outlook Express。
今すぐインストールしてコンピュータを保護する
これらの脆弱性の中で、最も深刻なものは
攻撃者がシステム上でコードを実行できるようにします。
このアップデートには、機能=
以前にリリースされたすべてのパッチの

システム要件:Windows 95/98 / Me / 2000 / NT / XP
この更新プログラムは、
– MS Internet Explorerバージョン4.01以降
– MS Outlook、バージョン8.00以降
– MS Outlook Express、バージョン4.01以降

推奨事項:お客様はパッチをインストールする必要があります=
最も早い機会に
インストール方法:添付ファイルを実行します。表示されたダイアログボックスで[はい]を選択します。
使用方法:このアイテムのインストール後に何もする必要はありません。

署名:

マイクロソフト製品サポートサービスおよびナレッジベースの記事=
マイクロソフトテクニカルサポートのWebサイトにあります。
http://support.microsoft.com/

Microsoft製品に関するセキュリティ関連の情報については、
マイクロソフトセキュリティアドバイザのWebサイトを参照してください
http://www.microsoft.com/security/

マイクロソフト製品をご利用いただきありがとうございます。

このメッセージに返信しないでください。
監視されていない電子メールアドレスから送信され、
すべての返信に応答します。

———————————————-
言及された実際の会社と製品の名前=
それぞれの所有者の商標です。

添付ファイル名:

パッチ[乱数] .exe
[乱数]をインストールする.exe
q [乱数] .exe
アップデート[乱数] .exe

身体の実際の内容は、様々な状況に応じて、より複雑でなくてもよい。

  • 件名には以下が含まれます:

    文字
    助言
    メッセージ
    発表
    報告する
    通知
    バグ
    エラー
    アボート
    失敗
    ユーザー不明

  • 本文には以下が含まれます:

    こんにちは!
    これがqmailプログラムです
    [ランダム値]からのメッセージ
    ごめんなさい
    私はそれを知らせなくてはならない
    私は怖いです
    私はあなたのメッセージを以下のアドレスに届けることができませんでした
    下に返されたメッセージを配信できませんでした
    私はあなたのメッセージを伝えることができませんでした
    1つ以上の目的地へ

ワームは、ZIPやRARなどのアーカイブ形式で自身のコピーを送信することもあります。

カザー経由の伝播

スーザンは、Kazaa Liteのファイル交換ディレクトリにあるランダムな名前で自分自身をコピーすることで、Kazaaファイル共有ネットワークを介して伝播します。また、Windows Tempフォルダにランダムな名前のサブディレクトリを作成して、ランダムな名前のファイルをいくつかコピーします。

このフォルダは、Windowsシステムレジストリで、Kazaaファイル共有システムのローカルコンテンツとして識別されます。

 HKCUSoftwareKazaaLocalContent
 dir99 = 012345:%Windir %% temp%フォルダ名

その結果、Swenによって作成された新しいファイルは、他のKazaaネットワークユーザが利用できるようになります。

IRCチャネルによる伝播

ワームは、インストールされているmIRCクライアントをスキャンします。検出された場合、Swenはその伝播手順を追加してscript.iniファイルを変更します。 scrip.iniファイルは感染したファイルをWindowsディレクトリから現在感染しているIRCチャネルに接続するすべてのユーザーに送信します。

LAN経由での伝播

ワームは利用可能なすべてのドライブをスキャンします。ネットワークドライブが見つかった場合は、以下のフォルダにランダムな名前で自分自身をコピーします。

windowsall usersstart menuprogramsstartup
windowsstart menuprogramsstartup
winmeall usersstart menuprogramsstartup
winmestart menuprogramsstartup
win95all usersstart menuprogramsstartup
win95start menuprogramsstartup
win98all usersstart menuprogramsstartup
win98start menuprogramsstartup
ドキュメントと設定全ユーザスタートアッププログラムの起動
ドキュメントと設定defaultsユーザーのスタートアッププログラムの起動
ドキュメントと設定管理者のスタートアップを開始する
winntprofilesallユーザースタートアッププログラムの起動
winntprofilesdefault userstart menuprogramsstartup
winntprofilesadministratorstart menuprogramsstartup

その他

ワームは、さまざまなアンチウイルスソフトウェアやファイアウォールの立ち上げや動作をブロックしようとします。

 _avp
ackwin32
反トロイの木馬
aplica32
apvxdwin
オートタウン
avconsol
ave32
avgcc32
avgctrl
平均
avkserv
avnt
avp
avsched32
avwin95
avwupd32
黒人
黒髪
ブートワーン
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
カフェ
クロー95
dv95
エコエンジン
efinet32
騒がしい
espwatch
f-agnt95
findviru
fprot
f-prot
fprot95
f-prot95
fp-win
frw
fストップウ
ギブ
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
アイクヌーン
icssuppnt
icsupp
Iface
iomon98
ジェダイ
 kpfw32
ロックダウン2000
外を見る
ルアール
羊毛
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
ナビゲート
navw
ニスム
ナイン
規範主義者
更新日
ナップグレード
nvc95
前哨
パッドミン
pavcl
パヴェシュシュ
パブ
プラチナ
pccmain
pccwin98
pcfwallicon
persfw
pop3trap
pview
レイヴ
regedit
レスキュー
safeweb
serv95
スフィンクス
スイープ
tca
tds2
vcleaner
vcontrol
vet32
vet95
vet98
ヴェトレー
vscan
vsecomr
vshwin32
vsstat
ウェブトラップ
wfindv32
ザプロ
ゾーンアラーム

これらが起動されるとSWENは 、次の偽のエラーメッセージを指定を表示します。


オリジナルへのリンク