Email-Worm.Win32.Sysnom

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体は約21Kbの長さのWindows PE EXEファイル（UPXで圧縮され、解凍サイズは約45Kです）であり、Visual Basicで記述されています。

感染したメッセージに含まれるもの：

件名 ：良いニュース
添付ファイル ：SoftwareKey.exe

ボディーは、以下の3つのバリアントから選択されます。

CodeRed、BadTrans、Goner、UpdaterなどのI-ワームを削除したいですか？
あなたのPCに最新のインターネットワームを削除するソフトウェアを提供しているので、あなたには良いニュースです。
AVPの無料ソフトウェアが含まれています。

こんにちは！あなたはアイスランド旅行の勝者です。
このメッセージには、賞品の請求に役立つソフトウェアが含まれています。
そこに会いましょう！アイスランド

こんにちは！あなたはインドネシアのバリ島への航空券を獲得しました！
添付ファイルをクリックすると、価格の請求方法が表示されます。
このメッセージは、YouCanSeeTheWorld.comの礼儀です。

ワームは、ユーザーが添付ファイルをクリックしたときにのみ、感染した電子メールからアクティブ化されます。その後、ワームは自身をシステムにインストールし、自身をC：WINDOWSディレクトリに以下の名前でコピーします。

C：WINDOWSSoftwareKey.exe
C：WINDOWSSYSNOM.EXE
C：WINDOWSSCANREGW.EXE（オリジナルのSCANREGWファイルはワームコピーによって上書きされます）

1つのファイルをシステムレジストリの自動実行キーに登録します。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunシステムモニタ= c：WINDOWSSYSNOM.EXE

ワームは、次のメッセージを表示します。

電子メールの配布ルーチンを開始します。感染したメッセージを送信するために、ワームはMS Outlookを使用して、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。

次に、このワームはIEXPLORER.EXEで "http://www.avp.ch"サイトを開き、 "indovirus.8m.com"サイトでDoS攻撃を開始します。

このワームは他の方法では現れません。