本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.SysClock

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、電子メール、IRCチャネル、ローカルコンピュータ上のファイルへの感染、およびローカルネットワークへの拡散を通じて広がるインターネットワーム(ワーム型のウイルス)です。また、感染したコンピュータからシステムパスワード(PWLファイル)を盗み、無害で危険なペイロードルーチンを多数持ちます。ワーム自体は、約80KbのサイズのWin32(PE EXE – Portable Executable)プログラムで、「純粋な」ワームコードは約20Kbを占め、残りはDelphiランタイムライブラリコード、データ、およびプログラムのその他の情報です。

ワームは、偽のメッセージ(下記参照)とワームプログラム自体であるPKZIP.EXEファイルが添付された電子メールとして届きます。ワームが実行されると、システムにインストールされ、ローカルドライブ上のファイルに感染し、利用可能な論理ドライブに感染し、インストールされたmIRCクライアントに感染し、Eudoraメールシステムを使用して感染した電子メールを送信します。

システムへのインストール

自身をシステムにインストールするには、KERNEL.EXE名を付けてWindowsディレクトリ(Win95 / 98マシン)またはWindowsシステムディレクトリ(WinNT)に自身をコピーし、システムレジストリの自動実行キーに登録します:


SOFTWAREMicrosoftWindowsCurrentVersionRun SysClock = kernel.exe

ワームには、使用可能なすべてのドライブにワームコピーをインストールする追加のインストールルーチンもあります。このルーチンについては後述する。

コンピュータに感染する

ワームは、コンピュータ上で約40個のファイルを感染させることができ、各実行時に4個以下のファイルに感染します。このワームは、Windowsディレクトリ内のファイルに感染します。


NOTEPAD.EXE、CALC.EXE、DEFRAG.EXE、SCANDSKW.EXE、WRITE.EXE、WINIPCFG.EXE、
SCANREGW.EXE、DRWTSN32.EXE、NTBACKUP.EXE、REGEDT32.EXE、TASKMGR.EXE、
USRMGR.EXE

次に、このワームは、レジストリキーに関連付けられているプログラムに感染します。


SOFTWAREClassesAccess.Application.8 shellopenコマンド
SOFTWAREClassesオーディオCDシェルプレイコマンド
SOFTWAREClassesAVIFileシェルプレイコマンド
SOFTWAREClasscdafileシェルプレイコマンド
SOFTWAREClassesチャットシェルコマンド
SOFTWAREClientsNewsフォートエージェントシェルコマンド
SOFTWAREClassesExcel.Sheet.8 shellopenコマンド
SOFTWAREClassesftpシェルコマンド
SOFTWARECシェイプシェルコマンド
SOFTWAREClasseshlpfileシェルコマンド
SOFTWAREClassesEudora DefaultIcon
SOFTWARECESEUDORシェルコマンド
SOFTWAREClassesMicrosoftインターネットメールメッセージshellopenコマンド
ソフトウェアニュースMicrosoft Internet Newsメッセージshellopenコマンド
SOFTWAREClassesMOVFileシェルコマンド
SOFTWAREClassesMsi.Package shellopencommand
SOFTWAREClassespcANYWHERE32シェルコマンド
SOFTWAREClassesQuickViewシェルコマンド
SOFTWAREClassesRealPlayer.RAM.6 shellopencommand
SOFTWAREClassesWinamp.File shellopencommand
SOFTWAREClasses未完成ダウンロードshellopencommand
SOFTWAREClassesUltraEdit-32ドキュメントシェルコマンド
SOFTWAREClassesWhiteboardシェルコマンド
SOFTWAREClassesvcard_wab_auto_fileシェルコマンド
SOFTWAREUlead SystemsUriad PhotoImpact4.0PathIeEdit.exe
SOFTWAREKasperskyLabComponents102EXEName

ワームは、各ファイルに感染する際に、コンパニオン感染方法を使用します。ワームは、8バイトのランダムに名前を付けられた拡張子ファイル(例:GTGUQPPA.EXE、XOHSKVXQ.EXEなど)の名前を変更し、元のファイル。その結果、ユーザーまたはシステムが感染ファイルを実行するたびにワームコピーが実行されます。

ワームは、制御をホストファイルに戻すために、ファイル名をレジストリキーHKCUAppEventsSchemesApps.DefaultSystemStartWindowsに保存します。次に例を示します。


C:WIN95calc.exe "gtguqppa.exe"
C:WIN95mplayer.exe "xohskvxq.exe"

この情報は、コンピュータの駆除に使用できます。

既に感染したファイルを検出するために、このワームはPE EXEファイルのリソースに格納されているFileVersionを使用します。感染ファイルでは、この変数は "1.3.5.7"に設定されています。

ローカルおよびネットワークドライブへの感染

ワームはまた、自身をコピーし、使用可能な論理ドライブ(リムーバブル、固定ネットワーク、ネットワーク)に「登録」します。ワームは、リムーバブルファイルに感染すると、そのファイル上のAUTOEXEC.BATファイルを探し、ドライブからロードするときにPKZIP.EXEファイルを実行する命令を追加し、PKZIP.EXEファイル名でドライブに自身をコピーします。

ワームは、ハードドライブに感染すると、これらのドライブのルートディレクトリにあるPKZIP.EXEファイルを探し、そのファイルが存在しない場合はこの名前で自身をコピーします。このファイルを実行するために、ワームはドライブにAUTORUN.INFファイルを作成し、次のWindowsスタータップ時にPKZIP.EXEファイル(ワームコピー)を実行するための命令ブロックを書き込みます。


[autorun]
open = pkzip.exe

リモートドライブに感染すると、ワームはまず、このドライブを書面による許可の有無でチェックします。これを行うために、このワームはそこにTEMP9385.058ファイルを作成し、それを削除します。動作中にエラーが発生しなかった場合、ワームはドライブに広がり続けます。 PKZIP.EXE名で自身をコピーし、ローカルコンピュータの固定ドライブに影響を与えるのと同じ方法でAUTORUN.INFファイルを作成します。さらに、このワームは、ドライブ上のWindowsおよびWinNTディレクトリを検索し、PKZIP.EXEのコピーをWIN.INIファイルの[windows] "run"命令に登録します。この操作は、次回のWindows起動時にもワームコピーの実行を引き起こします。

ワームは、ネットワークドライブに感染している間、実行可能なファイルが存在する場合はそのファイルを破壊し、そのファイルを上書きします。


Acrobat3ReaderAcrord32.exe
Eudora95Eudora.exe
プログラムFilesMicrosoft OfficeOfficeOutlook.exe
プログラムFilesInternet ExplorerIexplore.exe
プログラムFilesWinZipWinZip32.exe
プログラムFilesMicrosoft OfficeOfficeWinWord.exe
プログラムFilesNetscapeProgramNetscape.exe

mIRCクライアントに感染し、IRCチャネルを介して拡散する

このルーチンは、感染したファイルが実行されるたびにではなく、システム時刻に応じて実行されます。ディレクトリ内のmIRCスクリプトファイルにアクセスして、システムにインストールされているmIRCクライアントを探します。


C:MIRCSCRIPT.INI
C:MIRC32SCRIPT.INI
C:プログラムファイルMMRCSCRIPT.INI
C:プログラムファイルMMRC32SCRIPT.INI

そのようなファイルが存在しない場合、ワームは感染ルーチンを終了します。それ以外の場合は、SCRIPT.INIファイルを、影響を受けるチャネルに入るすべての人にC:PKZIP.EXEファイルを送信する命令で上書きします。

感染した電子メールを送信する

このルーチンは、システム時刻とmIRC感染ルーチンに応じて実行されます。最初に、このワームはレジストリキー:SoftwareQualcommEudoraCommandLineにアクセスして、Eudoraディレクトリ名を取得します。ワームは、Eudoraの送信メールデータベース(OUT.MBXファイル)をスキャンし、そこからアドレスを取得し、感染メッセージが送信されるリストに格納します。ワームは、このリストに "support@microsoft.com"電子メールアドレスも追加しているようです。

次に、Eudora sendmailシステムの初期化に使用されるC:USER.MSGファイルを準備します。ワームは、感染した添付ファイルを含むメッセージを送信するために必要なすべてのデータをそこに書き込みます。


To:OUT.MBXファイルのアドレス一覧と "support@microsoft.com"
件名:ここであなたがリクエストしたもの
X添付ファイル:c:pkzip.exe;
メッセージ本文:
あなたはこれをしばらく前にリクエストしていたので、ここにいます。
楽しい。

ワームは、Eudora sendmailを起動するWindowsの機能によってC:USER.MSGファイルを開きます。

パスワードファイルを盗む

ワームは、システムにインストールしてファイルを感染させる際に、Windowsパスワードファイル(.PWLファイル)を探し、そこからパスワードデータを読み取り、感染したファイル本体に添付します。

ワームは、パスワードをどのインターネットアドレスにも送信しませんが、感染したファイルに添付します。その結果、盗まれたパスワードは、ワームがそのコピーをインターネットまたはIRCチャネルに広げる場合にのみ、コンピュータから去ります。

ペイロードルーチン

ワームには、システムの日付と時刻に応じてアクティブ化される多くのペイロードルーチンがあります。これらのルーチンによるワーム:

– スレッドを無制限に起動してコンピュータを停止します。

– .DEFAULTSoftwareMicrosoftRegEdt32Settingsレジストリキーを "AutoRefresh = 0"の値で上書きします。

– Internet Explorerの設定を変更します。ワームは、SOFTWAREMicrosoftInternet ExplorerMainレジストリキーを書き換えることにより、 "スタートページ"を "http://www.whitehouse.com/"に、 "検索ページ"を "http://www.bigboobies.com"に設定し、インターネットキャッシュを無効にします更新する。

ワームは、SOFTWAREMicrosoftInternet ExplorerSearchUrlとSOFTWAREMicrosoftInternet ExplorerTypedURLsレジストリキーを書き換えることにより、 "http://www.gayextreme.com/queer/handle-it.html" Webページを最近使用されたWebページの最初の位置に設定します。 "SearchURL"を "http://www.fetishrealm.com/fatgirls/pic3.htm"に設定します。

– SoftwareMirabilisICQBookmarksレジストリキーセットを書き直すことによって:


「メインページ」〜「http://www.biggfantac.com/terra/index.html」
"カスタマーサポート"から "http://www.pornoparty.net"
「メニュー」から「http://www.gayextreme.com/queer/handle-it.html」

– すべてのキーを削除します


SOFTWAREMicrosoftWindowsCurrentVersionをアンインストールするか、
SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZones

– Windows設定を設定します。


RegisteredOwner = "ウィルスの馬鹿"
RegisteredOrganizationとProductID = "Registry Rage Virus L1999"

– C:POEM1.TXTまたはC:POEM2.TXTファイルを作成し、そこにテキストの1つを書き込み(下記参照)、NOTEPAD.EXEで開きます。テキストは次のようになります。


身体と心のために何でも守り、前進する
死によって落ちることはありません。
私はエゴリズムを排除し、すべての根底にあることを示し、私は
人格の詩人、
そして、私は男性と女性のどちらかが、
もう一方の、
そして私は現在に不完全さがないことを示します。
将来的には誰にもなり得ないが、
そして、私は誰にも何が起こっても、それはターンアラウンドするかもしれないことを示します。
美しい結果、
そして、私は死よりも美しいものは何も起こらないことを示します…
– ウォルト・ホイットマン
神は死なない。すべての良いことは永遠に生殖的です。の美しさ
自然は自分自身を心の中で改革し、不毛の熟考のためではなく、
新しい創造のために。
すべての男性は、世界の顔にある程度感銘を受けています。一部の男性
喜んでも。美しさのこの愛は味です。他は同じ愛を持っている
そのような過度に、魅力的な内容ではなく、彼らは具体化しようとする
それは新しい形で。美しさの創造はアートです。
– ラルフ・ウォルド・エマーソン

ワームのペイロードルーチンは、その他のWindows設定を消去または変更し、バックアップとスキャンディスクの設定を最小限に抑え、レジストリのバックアップを消去します。


オリジナルへのリンク