本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。
Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス | Email-Worm | ||
プラットフォーム | Win32 | ||
説明 |
技術的な詳細Swenは非常に危険なワームウイルスで、電子メール(感染ファイル添付ファイルの形式)、Kazaaファイル共有ネットワーク、IRCチャネル、およびオープンネットワークリソースを介してインターネットに広がります。 SWENは、Microsoft Visual C ++で書かれ、サイズが105キロバイト(106496バイト)です。 被害者が感染したファイル(添付ファイルをダブルクリック)を起動したときや、被害者のマシンの電子メールアプリケーションは、(また、インターネットワームによって悪用IFrame.FileDownloadの脆弱性が存在する場合、ワームはアクティブにクレズとタナトス )。実行されると、 Swenはシステムに自身をインストールし、Propationルーチンを開始します。 2001年3月にリリースされたIFrameの脆弱性に関するパッチ( Microsoft Security Bulletin MS01-20)をダウンロードできます。 ワームは、多くのウイルス対策プログラムやファイアウォールをブロックします。そのアルゴリズムとコードテキストの一部は、 I-Worm.Gibeと呼ばれる別のインターネットワームのアルゴリズムとほぼ同じですが、使用するプログラミング言語は異なります。 インストール ワームは、最初に起動されると、「Microsoft Internet Update Pack」メッセージボックスを表示することがあります。次に、パッチのインストールを模倣する: ![]() ![]() ![]() ワームは、以下のいずれかの名前でWindowsディレクトリに自身をコピーします。名前はいくつかの部分で構成されています。 最初の可能性:
2番目の可能性:
第3の可能性:
新しいファイルは、Windowsシステムレジストリの自動実行キーに登録されます。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun ランダムシーケンス=%windir%ファイル名自動実行 ワームの構成設定を含む識別キーが作成されます。 HKLMSoftwareMicrosoftWindowsCurrentVersionExplorer ランダムシーケンス ワームは、WindowsフォルダにBAT拡張子を持つ感染したホストマシンの名前を持つファイルを作成します。このファイルには、次のコマンドが含まれています。
その後、BAT、COM、EXE、PIF、REG、およびSCRファイルタイプが起動されるたびに、HKLMSoftwareClassesのキー値が変更されて実行されます。 HKCRbatfileshellopenコマンド デフォルト=%windir% ユーザーのシステムレジストリの編集機能を無効にします。 HKCU.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableRegistryTools = 01 00 00 00 ワームは、最初に起動されると、以下のリモートWebサイトにアクセスします。
このカウンタは、感染したコンピュータの数を示します。 既に感染したマシン上でワームの新しいコピーを実行しようとすると、ワームは次のメッセージを表示します。 ![]() ワームは、拡張子がDBX、MDX、EML、WABで、拡張子にHTまたはASPのいずれかを含むファイルをすべてのディスクでスキャンします。 Swemは検索可能な電子メールアドレスを抽出し、 germs0.dbvという名前のファイルに保存します。 ワームは、感染した電子メールを送信するために、 swen1.datファイルで指定されている350台のサーバの1つに接続しようとします。接続が不可能な場合、ワームはMAPI 32例外に関する次のエラーメッセージを表示します。 ![]() 正しいメールアドレスと正しいSMTPサーバーを要求します。 電子メールによる伝播 ワームは、SMTPサーバーへの直接接続を使用して、使用可能なすべてのアドレスに自分自身をメールします。感染した電子メールはHTML形式であり、添付ファイル(実際のワーム)を含んでいます。 ![]() 送信者名(複数の部分で構成):
例えば:
送信者アドレス(2部構成):
件名(さまざまな部分で構成されています):
体:
署名:
添付ファイル名:
身体の実際の内容は、様々な状況に応じて、より複雑でなくてもよい。
ワームは、ZIPやRARなどのアーカイブ形式で自身のコピーを送信することもあります。 カザー経由の伝播 スーザンは、Kazaa Liteのファイル交換ディレクトリにあるランダムな名前で自分自身をコピーすることで、Kazaaファイル共有ネットワークを介して伝播します。また、Windows Tempフォルダにランダムな名前のサブディレクトリを作成して、ランダムな名前のファイルをいくつかコピーします。 このフォルダは、Windowsシステムレジストリで、Kazaaファイル共有システムのローカルコンテンツとして識別されます。 HKCUSoftwareKazaaLocalContent dir99 = 012345:%Windir %% temp%フォルダ名 その結果、Swenによって作成された新しいファイルは、他のKazaaネットワークユーザが利用できるようになります。 IRCチャネルによる伝播 ワームは、インストールされているmIRCクライアントをスキャンします。検出された場合、Swenはその伝播手順を追加してscript.iniファイルを変更します。 scrip.iniファイルは感染したファイルをWindowsディレクトリから現在感染しているIRCチャネルに接続するすべてのユーザーに送信します。 LAN経由での伝播 ワームは利用可能なすべてのドライブをスキャンします。ネットワークドライブが見つかった場合は、以下のフォルダにランダムな名前で自分自身をコピーします。
その他 ワームは、さまざまなアンチウイルスソフトウェアやファイアウォールの立ち上げや動作をブロックしようとします。
これらが起動されるとSWENは 、次の偽のエラーメッセージを指定を表示します。 ![]() |
||
オリジナルへのリンク |
|||
お住まいの地域に広がる脅威の統計をご覧ください |