親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、MS Outlookを使用して感染した電子メールに広がるインターネットワームです。ワーム自体はDelphiで書かれ、Aspack PE EXE圧縮ユーティリティで圧縮されたWindows実行ファイルです。ワームのファイルサイズ(圧縮)は約200K、元の(圧縮されていない)サイズは約400Kです。
ワームは自身をシステムにインストールし、定期的にMS Outlookにアクセスして感染メッセージを送信します。ワームコードにはペイロードルーチンはありません。
このワームは、個人IDジェネレータのような行為を隠しています。このユーティリティは文字列を中国語のコーディングで使用しているため、中国語以外のWindowsでは真に表示することはできません。
ワームは「Personal ID Generator」ウィンドウを表示すると同時に、自身をWindowsにインストールします。これを行うために、WindowsとWindowsのシステムディレクトリの名前を取得し、そこに "SYSID.EXE"という名前で自身をコピーします。ワームは、Windowsディレクトリを検出できない場合、ハードコードされた名前を使用します。
C:WINNTSYSTEM32SYSID.EXE
C:WINNTSYSID.EXE
C:WINDOWSSYSTEMSYSID.EXE
C:WINDOWSSYSID.EXE
ワームは、Windowsが起動するたびに実行するために、そのコピーをシステムレジストリのauto-runセクションに登録します。
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WindowsVersion = "sysid"
ワームはこのレコードを隠すためにトリックを使います。ワームは、起動されるとレジストリからそのレコードを削除し、終了すると復元します。可能な限り長く活動するために、このワームはそのコピーを隠しアプリケーション(サービス)としてWindowsのメモリに残します。したがって、ワームはWindowsがシャットダウンされるまでアクティブであり、システムレジストリ内のワームの記録は見えません。 Windowsがシャットダウンされると、ワームはレジストリレコードを復元します。
その結果、標準のRegEditではワームのレコードを読み取ることができません.Windowsが起動手順を完了した時点で、Windowsが再起動されるまでは存在しません。
- 再起動するたびに、Windowsはシステムレジストリからワームファイル名を取得して実行します。ワームはそのレコードを削除し、Windowsの再起動を待つシステムメモリにとどまります。その時点で、ワームのレジストリレコードは存在しません。
- Windowsがシャットダウンすると、ワームはレジストリレコードを復元し、次のWindowsの再起動時にワームを再度実行する準備が整います。現時点では、レジストリレコードは存在しますが、標準ユーティリティでは読み取ることができません。
電子メールメッセージを介して拡散するため、ワームはファイルヘルパーを実行します。このファイルはVisualBasicScriptアプリケーションで、WindowsシステムディレクトリのワームによってWINVER.VBS名で作成されます。このファイルのVBSプログラムは、MS Outlookにアクセスし、アドレス帳からランダムに選択された名前を取得し、これらのアドレスにメッセージを作成して送信します。感染したアドレスの数は、AddressLists内のアドレスの総数によって異なります。 200未満のアドレスがある場合、ワームはそれらの10%にメッセージを送信します。それ以外の場合(200以上のメッセージ)、ワームは感染した電子メールをその2%に送信します。
感染したメッセージ本文は空です。件名のメッセージは、「送信済みアイテム」Outlookリストにあるすべての件名からランダムに選択されます。
このメッセージには4つの添付ファイルがあります。まず、100の亜種から無作為に選ばれた名前のワームEXEコピー(下記参照)です。次に、「C:My Documents」フォルダにある.JPEG、.JPG、.DOC、および.XLSファイルから添付ファイルがランダムに選択されます。 2つの添付ファイルは、「送信済みアイテム」リストからランダムに選択された電子メールメッセージです。
考えられるワームのEXE名のリストは、次のようになります。
pdd2000.exe
Tools.exe
Pcc99.exe
98fix.exe
Book.exe
Phone.exe
Car.exe
Game.exe
Office98fix.exe
Graphics.exe
ScreenSaver.exe
Joke.exe
Window.exe
Mp3Player.exe
WinAmp.exe
Mouse.exe
FTP_Pro.exe
WWW.exe
Ghost7.exe
MazeGame.exe
3DS.exe
Source.exe
Action.exe
Color.exe
Color_Joke.exe
GameStyle.exe
HAHA.exe
MyResume.exe
EasyGame.exe
Jonny.exe
BallGame.exe
MazeGame.exe
MAC9.exe
Desk_Demo.exe
Girl.exe
GirlGame.exe
GoodGame.exe
FreedMan.exe
Hurry Up.exe
Rest.exeを取る
Take Easy.exe
time.exeを超えないでください
Meeting.exe
Milk.exe
PlayBoy.exe
BadGirl.exe
BadBoy.exe
PenHouse.exe
Tape.exe
Display.exe
Me.exeをクリックします。
Apple.exe
新製品Show.exe
私のResume.exe
Boss Game.exe
Boy and Girl.exe
WinZip9.exe
Good Job.exe
新しいLanguage.exe
キーUser.exe
My Letter.exe
私のSister.exe
私のMother.exe
My Father.exe
My Picture.exe
Merry.exe
Happy.exe
Happy New Year.exe
どのようにYou.exeです
586 Tech.exe
Cell Phone.exe
Sex Picture.exe
若いKing.exe
Oscar.exe
Happy Prince.exe
Star Child.exe
Question.exe
Today.exeの問題
Acknowledgments.exe
Game99.exe
TrueまたはFalse.exe
Good Art.exe
News.exe
Stock News.exe
Music.exe
MP3.exe
Games.exeを選択
Life-Styles.exe
Life-Cycles.exe
Sometimes.exe
Summary.exe
Market.exe
MP3 Tools.exe
Cheat.exe
New Joke.exe
新しいSystem.exe
新しいJob.exe
新しいChance.exe
Make More Money.exe
ヘルプYourself.exe
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com