親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、電子メール、IRCチャネル、ローカルコンピュータ上のファイルへの感染、およびローカルネットワークへの拡散を通じて広がるインターネットワーム(ワーム型のウイルス)です。また、感染したコンピュータからシステムパスワード(PWLファイル)を盗み、無害で危険なペイロードルーチンを多数持ちます。ワーム自体は、約80KbのサイズのWin32(PE EXE - Portable Executable)プログラムで、「純粋な」ワームコードは約20Kbを占め、残りはDelphiランタイムライブラリコード、データ、およびプログラムのその他の情報です。
ワームは、偽のメッセージ(下記参照)とワームプログラム自体であるPKZIP.EXEファイルが添付された電子メールとして届きます。ワームが実行されると、システムにインストールされ、ローカルドライブ上のファイルに感染し、利用可能な論理ドライブに感染し、インストールされたmIRCクライアントに感染し、Eudoraメールシステムを使用して感染した電子メールを送信します。
システムへのインストール
自身をシステムにインストールするには、KERNEL.EXE名を付けてWindowsディレクトリ(Win95 / 98マシン)またはWindowsシステムディレクトリ(WinNT)に自身をコピーし、システムレジストリの自動実行キーに登録します:
SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe
ワームには、使用可能なすべてのドライブにワームコピーをインストールする追加のインストールルーチンもあります。このルーチンについては後述する。
コンピュータに感染する
ワームは、コンピュータ上で約40個のファイルを感染させることができ、各実行時に4個以下のファイルに感染します。このワームは、Windowsディレクトリ内のファイルに感染します。
NOTEPAD.EXE、CALC.EXE、DEFRAG.EXE、SCANDSKW.EXE、WRITE.EXE、WINIPCFG.EXE、SCANREGW.EXE、DRWTSN32.EXE、NTBACKUP.EXE、REGEDT32.EXE、TASKMGR.EXE、USRMGR.EXE
次に、このワームは、レジストリキーに関連付けられているプログラムに感染します。
SOFTWAREClassesAccess.Application.8 shellopenコマンドSOFTWAREClassesオーディオCDシェルプレイコマンドSOFTWAREClassesAVIFileシェルプレイコマンドSOFTWAREClasscdafileシェルプレイコマンドSOFTWAREClassesチャットシェルコマンドSOFTWAREClientsNewsフォートエージェントシェルコマンドSOFTWAREClassesExcel.Sheet.8 shellopenコマンドSOFTWAREClassesftpシェルコマンドSOFTWARECシェイプシェルコマンドSOFTWAREClasseshlpfileシェルコマンドSOFTWAREClassesEudora DefaultIconSOFTWARECESEUDORシェルコマンドSOFTWAREClassesMicrosoftインターネットメールメッセージshellopenコマンドソフトウェアニュースMicrosoft Internet NewsメッセージshellopenコマンドSOFTWAREClassesMOVFileシェルコマンドSOFTWAREClassesMsi.Package shellopencommandSOFTWAREClassespcANYWHERE32シェルコマンドSOFTWAREClassesQuickViewシェルコマンドSOFTWAREClassesRealPlayer.RAM.6 shellopencommandSOFTWAREClassesWinamp.File shellopencommandSOFTWAREClasses未完成ダウンロードshellopencommandSOFTWAREClassesUltraEdit-32ドキュメントシェルコマンドSOFTWAREClassesWhiteboardシェルコマンドSOFTWAREClassesvcard_wab_auto_fileシェルコマンドSOFTWAREUlead SystemsUriad PhotoImpact4.0PathIeEdit.exeSOFTWAREKasperskyLabComponents102EXEName
ワームは、各ファイルに感染する際に、コンパニオン感染方法を使用します。ワームは、8バイトのランダムに名前を付けられた拡張子ファイル(例:GTGUQPPA.EXE、XOHSKVXQ.EXEなど)の名前を変更し、元のファイル。その結果、ユーザーまたはシステムが感染ファイルを実行するたびにワームコピーが実行されます。
ワームは、制御をホストファイルに戻すために、ファイル名をレジストリキーHKCUAppEventsSchemesApps.DefaultSystemStartWindowsに保存します。次に例を示します。
C:WIN95calc.exe "gtguqppa.exe"C:WIN95mplayer.exe "xohskvxq.exe"等
この情報は、コンピュータの駆除に使用できます。
既に感染したファイルを検出するために、このワームはPE EXEファイルのリソースに格納されているFileVersionを使用します。感染ファイルでは、この変数は "1.3.5.7"に設定されています。
ローカルおよびネットワークドライブへの感染
ワームはまた、自身をコピーし、使用可能な論理ドライブ(リムーバブル、固定ネットワーク、ネットワーク)に「登録」します。ワームは、リムーバブルファイルに感染すると、そのファイル上のAUTOEXEC.BATファイルを探し、ドライブからロードするときにPKZIP.EXEファイルを実行する命令を追加し、PKZIP.EXEファイル名でドライブに自身をコピーします。
ワームは、ハードドライブに感染すると、これらのドライブのルートディレクトリにあるPKZIP.EXEファイルを探し、そのファイルが存在しない場合はこの名前で自身をコピーします。このファイルを実行するために、ワームはドライブにAUTORUN.INFファイルを作成し、次のWindowsスタータップ時にPKZIP.EXEファイル(ワームコピー)を実行するための命令ブロックを書き込みます。
[autorun]open = pkzip.exe
リモートドライブに感染すると、ワームはまず、このドライブを書面による許可の有無でチェックします。これを行うために、このワームはそこにTEMP9385.058ファイルを作成し、それを削除します。動作中にエラーが発生しなかった場合、ワームはドライブに広がり続けます。 PKZIP.EXE名で自身をコピーし、ローカルコンピュータの固定ドライブに影響を与えるのと同じ方法でAUTORUN.INFファイルを作成します。さらに、このワームは、ドライブ上のWindowsおよびWinNTディレクトリを検索し、PKZIP.EXEのコピーをWIN.INIファイルの[windows] "run"命令に登録します。この操作は、次回のWindows起動時にもワームコピーの実行を引き起こします。
ワームは、ネットワークドライブに感染している間、実行可能なファイルが存在する場合はそのファイルを破壊し、そのファイルを上書きします。
Acrobat3ReaderAcrord32.exeEudora95Eudora.exeプログラムFilesMicrosoft OfficeOfficeOutlook.exeプログラムFilesInternet ExplorerIexplore.exeプログラムFilesWinZipWinZip32.exeプログラムFilesMicrosoft OfficeOfficeWinWord.exeプログラムFilesNetscapeProgramNetscape.exe
mIRCクライアントに感染し、IRCチャネルを介して拡散する
このルーチンは、感染したファイルが実行されるたびにではなく、システム時刻に応じて実行されます。ディレクトリ内のmIRCスクリプトファイルにアクセスして、システムにインストールされているmIRCクライアントを探します。
C:MIRCSCRIPT.INIC:MIRC32SCRIPT.INIC:プログラムファイルMMRCSCRIPT.INIC:プログラムファイルMMRC32SCRIPT.INI
そのようなファイルが存在しない場合、ワームは感染ルーチンを終了します。それ以外の場合は、SCRIPT.INIファイルを、影響を受けるチャネルに入るすべての人にC:PKZIP.EXEファイルを送信する命令で上書きします。
感染した電子メールを送信する
このルーチンは、システム時刻とmIRC感染ルーチンに応じて実行されます。最初に、このワームはレジストリキー:SoftwareQualcommEudoraCommandLineにアクセスして、Eudoraディレクトリ名を取得します。ワームは、Eudoraの送信メールデータベース(OUT.MBXファイル)をスキャンし、そこからアドレスを取得し、感染メッセージが送信されるリストに格納します。ワームは、このリストに "support@microsoft.com"電子メールアドレスも追加しているようです。
次に、Eudora sendmailシステムの初期化に使用されるC:USER.MSGファイルを準備します。ワームは、感染した添付ファイルを含むメッセージを送信するために必要なすべてのデータをそこに書き込みます。
To:OUT.MBXファイルのアドレス一覧と "support@microsoft.com"件名:ここであなたがリクエストしたものX添付ファイル:c:pkzip.exe;メッセージ本文:あなたはこれをしばらく前にリクエストしていたので、ここにいます。楽しい。
ワームは、Eudora sendmailを起動するWindowsの機能によってC:USER.MSGファイルを開きます。
パスワードファイルを盗む
ワームは、システムにインストールしてファイルを感染させる際に、Windowsパスワードファイル(.PWLファイル)を探し、そこからパスワードデータを読み取り、感染したファイル本体に添付します。
ワームは、パスワードをどのインターネットアドレスにも送信しませんが、感染したファイルに添付します。その結果、盗まれたパスワードは、ワームがそのコピーをインターネットまたはIRCチャネルに広げる場合にのみ、コンピュータから去ります。
ペイロードルーチン
ワームには、システムの日付と時刻に応じてアクティブ化される多くのペイロードルーチンがあります。これらのルーチンによるワーム:
- スレッドを無制限に起動してコンピュータを停止します。
- .DEFAULTSoftwareMicrosoftRegEdt32Settingsレジストリキーを "AutoRefresh = 0"の値で上書きします。
- Internet Explorerの設定を変更します。ワームは、SOFTWAREMicrosoftInternet ExplorerMainレジストリキーを書き換えることにより、 "スタートページ"を "http://www.whitehouse.com/"に、 "検索ページ"を "http://www.bigboobies.com"に設定し、インターネットキャッシュを無効にします更新する。
ワームは、SOFTWAREMicrosoftInternet ExplorerSearchUrlとSOFTWAREMicrosoftInternet ExplorerTypedURLsレジストリキーを書き換えることにより、 "http://www.gayextreme.com/queer/handle-it.html" Webページを最近使用されたWebページの最初の位置に設定します。 "SearchURL"を "http://www.fetishrealm.com/fatgirls/pic3.htm"に設定します。
- SoftwareMirabilisICQBookmarksレジストリキーセットを書き直すことによって:
「メインページ」〜「http://www.biggfantac.com/terra/index.html」"カスタマーサポート"から "http://www.pornoparty.net"「メニュー」から「http://www.gayextreme.com/queer/handle-it.html」
- すべてのキーを削除します
SOFTWAREMicrosoftWindowsCurrentVersionをアンインストールするか、SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones
- Windows設定を設定します。
RegisteredOwner = "ウィルスの馬鹿"RegisteredOrganizationとProductID = "Registry Rage Virus L1999"
- C:POEM1.TXTまたはC:POEM2.TXTファイルを作成し、そこにテキストの1つを書き込み(下記参照)、NOTEPAD.EXEで開きます。テキストは次のようになります。
身体と心のために何でも守り、前進する死によって落ちることはありません。私はエゴリズムを排除し、すべての根底にあることを示し、私は人格の詩人、そして、私は男性と女性のどちらかが、もう一方の、そして私は現在に不完全さがないことを示します。将来的には誰にもなり得ないが、そして、私は誰にも何が起こっても、それはターンアラウンドするかもしれないことを示します。美しい結果、そして、私は死よりも美しいものは何も起こらないことを示します... - ウォルト・ホイットマン神は死なない。すべての良いことは永遠に生殖的です。の美しさ自然は自分自身を心の中で改革し、不毛の熟考のためではなく、新しい創造のために。すべての男性は、世界の顔にある程度感銘を受けています。一部の男性喜んでも。美しさのこの愛は味です。他は同じ愛を持っているそのような過度に、魅力的な内容ではなく、彼らは具体化しようとするそれは新しい形で。美しさの創造はアートです。 - ラルフ・ウォルド・エマーソン
ワームのペイロードルーチンは、その他のWindows設定を消去または変更し、バックアップとスキャンディスクの設定を最小限に抑え、レジストリのバックアップを消去します。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com