Email-Worm.Win32.Sysid

技術的な詳細

これは、MS Outlookを使用して感染した電子メールに広がるインターネットワームです。ワーム自体はDelphiで書かれ、Aspack PE EXE圧縮ユーティリティで圧縮されたWindows実行ファイルです。ワームのファイルサイズ（圧縮）は約200K、元の（圧縮されていない）サイズは約400Kです。

ワームは自身をシステムにインストールし、定期的にMS Outlookにアクセスして感染メッセージを送信します。ワームコードにはペイロードルーチンはありません。

このワームは、個人IDジェネレータのような行為を隠しています。このユーティリティは文字列を中国語のコーディングで使用しているため、中国語以外のWindowsでは真に表示することはできません。

ワームは「Personal ID Generator」ウィンドウを表示すると同時に、自身をWindowsにインストールします。これを行うために、WindowsとWindowsのシステムディレクトリの名前を取得し、そこに "SYSID.EXE"という名前で自身をコピーします。ワームは、Windowsディレクトリを検出できない場合、ハードコードされた名前を使用します。

C：WINNTSYSTEM32SYSID.EXE
C：WINNTSYSID.EXE
C：WINDOWSSYSTEMSYSID.EXE
C：WINDOWSSYSID.EXE

ワームは、Windowsが起動するたびに実行するために、そのコピーをシステムレジストリのauto-runセクションに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"

ワームはこのレコードを隠すためにトリックを使います。ワームは、起動されるとレジストリからそのレコードを削除し、終了すると復元します。可能な限り長く活動するために、このワームはそのコピーを隠しアプリケーション（サービス）としてWindowsのメモリに残します。したがって、ワームはWindowsがシャットダウンされるまでアクティブであり、システムレジストリ内のワームの記録は見えません。 Windowsがシャットダウンされると、ワームはレジストリレコードを復元します。

その結果、標準のRegEditではワームのレコードを読み取ることができません.Windowsが起動手順を完了した時点で、Windowsが再起動されるまでは存在しません。

• 再起動するたびに、Windowsはシステムレジストリからワームファイル名を取得して実行します。ワームはそのレコードを削除し、Windowsの再起動を待つシステムメモリにとどまります。その時点で、ワームのレジストリレコードは存在しません。
• Windowsがシャットダウンすると、ワームはレジストリレコードを復元し、次のWindowsの再起動時にワームを再度実行する準備が整います。現時点では、レジストリレコードは存在しますが、標準ユーティリティでは読み取ることができません。

電子メールメッセージを介して拡散するため、ワームはファイルヘルパーを実行します。このファイルはVisualBasicScriptアプリケーションで、WindowsシステムディレクトリのワームによってWINVER.VBS名で作成されます。このファイルのVBSプログラムは、MS Outlookにアクセスし、アドレス帳からランダムに選択された名前を取得し、これらのアドレスにメッセージを作成して送信します。感染したアドレスの数は、AddressLists内のアドレスの総数によって異なります。 200未満のアドレスがある場合、ワームはそれらの10％にメッセージを送信します。それ以外の場合（200以上のメッセージ）、ワームは感染した電子メールをその2％に送信します。

感染したメッセージ本文は空です。件名のメッセージは、「送信済みアイテム」Outlookリストにあるすべての件名からランダムに選択されます。

このメッセージには4つの添付ファイルがあります。まず、100の亜種から無作為に選ばれた名前のワームEXEコピー（下記参照）です。次に、「C：My Documents」フォルダにある.JPEG、.JPG、.DOC、および.XLSファイルから添付ファイルがランダムに選択されます。 2つの添付ファイルは、「送信済みアイテム」リストからランダムに選択された電子メールメッセージです。

考えられるワームのEXE名のリストは、次のようになります。

pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Rest.exeを取る
Take Easy.exe
time.exeを超えないでください
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Me.exeをクリックします。
Apple.exe
新製品Show.exe
私のResume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
新しいLanguage.exe
キーUser.exe
My Letter.exe
私のSister.exe
私のMother.exe
My Father.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
どのようにYou.exeです
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
若いKing.exe
Oscar.exe
Happy Prince.exe
Star Child.exe
Question.exe
Today.exeの問題
Acknowledgments.exe
Game99.exe
TrueまたはFalse.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Games.exeを選択
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
新しいSystem.exe
新しいJob.exe
新しいChance.exe
Make More Money.exe
ヘルプYourself.exe