Email-Worm.Win32.SysClock

技術的な詳細

これは、電子メール、IRCチャネル、ローカルコンピュータ上のファイルへの感染、およびローカルネットワークへの拡散を通じて広がるインターネットワーム（ワーム型のウイルス）です。また、感染したコンピュータからシステムパスワード（PWLファイル）を盗み、無害で危険なペイロードルーチンを多数持ちます。ワーム自体は、約80KbのサイズのWin32（PE EXE – Portable Executable）プログラムで、「純粋な」ワームコードは約20Kbを占め、残りはDelphiランタイムライブラリコード、データ、およびプログラムのその他の情報です。

ワームは、偽のメッセージ（下記参照）とワームプログラム自体であるPKZIP.EXEファイルが添付された電子メールとして届きます。ワームが実行されると、システムにインストールされ、ローカルドライブ上のファイルに感染し、利用可能な論理ドライブに感染し、インストールされたmIRCクライアントに感染し、Eudoraメールシステムを使用して感染した電子メールを送信します。

システムへのインストール

自身をシステムにインストールするには、KERNEL.EXE名を付けてWindowsディレクトリ（Win95 / 98マシン）またはWindowsシステムディレクトリ（WinNT）に自身をコピーし、システムレジストリの自動実行キーに登録します：

SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

ワームには、使用可能なすべてのドライブにワームコピーをインストールする追加のインストールルーチンもあります。このルーチンについては後述する。

コンピュータに感染する

ワームは、コンピュータ上で約40個のファイルを感染させることができ、各実行時に4個以下のファイルに感染します。このワームは、Windowsディレクトリ内のファイルに感染します。

NOTEPAD.EXE、CALC.EXE、DEFRAG.EXE、SCANDSKW.EXE、WRITE.EXE、WINIPCFG.EXE、

SCANREGW.EXE、DRWTSN32.EXE、NTBACKUP.EXE、REGEDT32.EXE、TASKMGR.EXE、

USRMGR.EXE

次に、このワームは、レジストリキーに関連付けられているプログラムに感染します。

SOFTWAREClassesAccess.Application.8 shellopenコマンド

SOFTWAREClassesオーディオCDシェルプレイコマンド

SOFTWAREClassesAVIFileシェルプレイコマンド

SOFTWAREClasscdafileシェルプレイコマンド

SOFTWAREClassesチャットシェルコマンド

SOFTWAREClientsNewsフォートエージェントシェルコマンド

SOFTWAREClassesExcel.Sheet.8 shellopenコマンド

SOFTWAREClassesftpシェルコマンド

SOFTWARECシェイプシェルコマンド

SOFTWAREClasseshlpfileシェルコマンド

SOFTWAREClassesEudora DefaultIcon

SOFTWARECESEUDORシェルコマンド

SOFTWAREClassesMicrosoftインターネットメールメッセージshellopenコマンド

ソフトウェアニュースMicrosoft Internet Newsメッセージshellopenコマンド

SOFTWAREClassesMOVFileシェルコマンド

SOFTWAREClassesMsi.Package shellopencommand

SOFTWAREClassespcANYWHERE32シェルコマンド

SOFTWAREClassesQuickViewシェルコマンド

SOFTWAREClassesRealPlayer.RAM.6 shellopencommand

SOFTWAREClassesWinamp.File shellopencommand

SOFTWAREClasses未完成ダウンロードshellopencommand

SOFTWAREClassesUltraEdit-32ドキュメントシェルコマンド

SOFTWAREClassesWhiteboardシェルコマンド

SOFTWAREClassesvcard_wab_auto_fileシェルコマンド

SOFTWAREUlead SystemsUriad PhotoImpact4.0PathIeEdit.exe

SOFTWAREKasperskyLabComponents102EXEName

ワームは、各ファイルに感染する際に、コンパニオン感染方法を使用します。ワームは、8バイトのランダムに名前を付けられた拡張子ファイル（例：GTGUQPPA.EXE、XOHSKVXQ.EXEなど）の名前を変更し、元のファイル。その結果、ユーザーまたはシステムが感染ファイルを実行するたびにワームコピーが実行されます。

ワームは、制御をホストファイルに戻すために、ファイル名をレジストリキーHKCUAppEventsSchemesApps.DefaultSystemStartWindowsに保存します。次に例を示します。

C：WIN95calc.exe "gtguqppa.exe"

C：WIN95mplayer.exe "xohskvxq.exe"

等

この情報は、コンピュータの駆除に使用できます。

既に感染したファイルを検出するために、このワームはPE EXEファイルのリソースに格納されているFileVersionを使用します。感染ファイルでは、この変数は "1.3.5.7"に設定されています。

ローカルおよびネットワークドライブへの感染

ワームはまた、自身をコピーし、使用可能な論理ドライブ（リムーバブル、固定ネットワーク、ネットワーク）に「登録」します。ワームは、リムーバブルファイルに感染すると、そのファイル上のAUTOEXEC.BATファイルを探し、ドライブからロードするときにPKZIP.EXEファイルを実行する命令を追加し、PKZIP.EXEファイル名でドライブに自身をコピーします。

ワームは、ハードドライブに感染すると、これらのドライブのルートディレクトリにあるPKZIP.EXEファイルを探し、そのファイルが存在しない場合はこの名前で自身をコピーします。このファイルを実行するために、ワームはドライブにAUTORUN.INFファイルを作成し、次のWindowsスタータップ時にPKZIP.EXEファイル（ワームコピー）を実行するための命令ブロックを書き込みます。

[autorun]

open = pkzip.exe

リモートドライブに感染すると、ワームはまず、このドライブを書面による許可の有無でチェックします。これを行うために、このワームはそこにTEMP9385.058ファイルを作成し、それを削除します。動作中にエラーが発生しなかった場合、ワームはドライブに広がり続けます。 PKZIP.EXE名で自身をコピーし、ローカルコンピュータの固定ドライブに影響を与えるのと同じ方法でAUTORUN.INFファイルを作成します。さらに、このワームは、ドライブ上のWindowsおよびWinNTディレクトリを検索し、PKZIP.EXEのコピーをWIN.INIファイルの[windows] "run"命令に登録します。この操作は、次回のWindows起動時にもワームコピーの実行を引き起こします。

ワームは、ネットワークドライブに感染している間、実行可能なファイルが存在する場合はそのファイルを破壊し、そのファイルを上書きします。

Acrobat3ReaderAcrord32.exe

Eudora95Eudora.exe

プログラムFilesMicrosoft OfficeOfficeOutlook.exe

プログラムFilesInternet ExplorerIexplore.exe

プログラムFilesWinZipWinZip32.exe

プログラムFilesMicrosoft OfficeOfficeWinWord.exe

プログラムFilesNetscapeProgramNetscape.exe

mIRCクライアントに感染し、IRCチャネルを介して拡散する

このルーチンは、感染したファイルが実行されるたびにではなく、システム時刻に応じて実行されます。ディレクトリ内のmIRCスクリプトファイルにアクセスして、システムにインストールされているmIRCクライアントを探します。

C：MIRCSCRIPT.INI

C：MIRC32SCRIPT.INI

C：プログラムファイルMMRCSCRIPT.INI

C：プログラムファイルMMRC32SCRIPT.INI

そのようなファイルが存在しない場合、ワームは感染ルーチンを終了します。それ以外の場合は、SCRIPT.INIファイルを、影響を受けるチャネルに入るすべての人にC：PKZIP.EXEファイルを送信する命令で上書きします。

感染した電子メールを送信する

このルーチンは、システム時刻とmIRC感染ルーチンに応じて実行されます。最初に、このワームはレジストリキー：SoftwareQualcommEudoraCommandLineにアクセスして、Eudoraディレクトリ名を取得します。ワームは、Eudoraの送信メールデータベース（OUT.MBXファイル）をスキャンし、そこからアドレスを取得し、感染メッセージが送信されるリストに格納します。ワームは、このリストに "support@microsoft.com"電子メールアドレスも追加しているようです。

次に、Eudora sendmailシステムの初期化に使用されるC：USER.MSGファイルを準備します。ワームは、感染した添付ファイルを含むメッセージを送信するために必要なすべてのデータをそこに書き込みます。

To：OUT.MBXファイルのアドレス一覧と "support@microsoft.com"

件名：ここであなたがリクエストしたもの

X添付ファイル：c：pkzip.exe;

メッセージ本文：

あなたはこれをしばらく前にリクエストしていたので、ここにいます。

楽しい。

ワームは、Eudora sendmailを起動するWindowsの機能によってC：USER.MSGファイルを開きます。

パスワードファイルを盗む

ワームは、システムにインストールしてファイルを感染させる際に、Windowsパスワードファイル（.PWLファイル）を探し、そこからパスワードデータを読み取り、感染したファイル本体に添付します。

ワームは、パスワードをどのインターネットアドレスにも送信しませんが、感染したファイルに添付します。その結果、盗まれたパスワードは、ワームがそのコピーをインターネットまたはIRCチャネルに広げる場合にのみ、コンピュータから去ります。

ペイロードルーチン

ワームには、システムの日付と時刻に応じてアクティブ化される多くのペイロードルーチンがあります。これらのルーチンによるワーム：

– スレッドを無制限に起動してコンピュータを停止します。

– .DEFAULTSoftwareMicrosoftRegEdt32Settingsレジストリキーを "AutoRefresh = 0"の値で上書きします。

– Internet Explorerの設定を変更します。ワームは、SOFTWAREMicrosoftInternet ExplorerMainレジストリキーを書き換えることにより、 "スタートページ"を "http://www.whitehouse.com/"に、 "検索ページ"を "http://www.bigboobies.com"に設定し、インターネットキャッシュを無効にします更新する。

ワームは、SOFTWAREMicrosoftInternet ExplorerSearchUrlとSOFTWAREMicrosoftInternet ExplorerTypedURLsレジストリキーを書き換えることにより、 "http://www.gayextreme.com/queer/handle-it.html" Webページを最近使用されたWebページの最初の位置に設定します。 "SearchURL"を "http://www.fetishrealm.com/fatgirls/pic3.htm"に設定します。

– SoftwareMirabilisICQBookmarksレジストリキーセットを書き直すことによって：

「メインページ」〜「http://www.biggfantac.com/terra/index.html」

"カスタマーサポート"から "http://www.pornoparty.net"

「メニュー」から「http://www.gayextreme.com/queer/handle-it.html」

– すべてのキーを削除します

SOFTWAREMicrosoftWindowsCurrentVersionをアンインストールするか、

SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones 

– Windows設定を設定します。

RegisteredOwner = "ウィルスの馬鹿"

RegisteredOrganizationとProductID = "Registry Rage Virus L1999"

– C：POEM1.TXTまたはC：POEM2.TXTファイルを作成し、そこにテキストの1つを書き込み（下記参照）、NOTEPAD.EXEで開きます。テキストは次のようになります。

身体と心のために何でも守り、前進する

死によって落ちることはありません。

私はエゴリズムを排除し、すべての根底にあることを示し、私は

人格の詩人、

そして、私は男性と女性のどちらかが、

もう一方の、

そして私は現在に不完全さがないことを示します。

将来的には誰にもなり得ないが、

そして、私は誰にも何が起こっても、それはターンアラウンドするかもしれないことを示します。

美しい結果、

そして、私は死よりも美しいものは何も起こらないことを示します…

 – ウォルト・ホイットマン

神は死なない。すべての良いことは永遠に生殖的です。の美しさ

自然は自分自身を心の中で改革し、不毛の熟考のためではなく、

新しい創造のために。

すべての男性は、世界の顔にある程度感銘を受けています。一部の男性

喜んでも。美しさのこの愛は味です。他は同じ愛を持っている

そのような過度に、魅力的な内容ではなく、彼らは具体化しようとする

それは新しい形で。美しさの創造はアートです。

 – ラルフ・ウォルド・エマーソン

ワームのペイロードルーチンは、その他のWindows設定を消去または変更し、バックアップとスキャンディスクの設定を最小限に抑え、レジストリのバックアップを消去します。