Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で感染し、Win32アプリケーションをローカルコンピュータやネットワークリソースに感染させるウイルスワームです。 {"Win32.InvictusDLL"：Win32_InvictusDLL}ライブラリを使用してファイルを感染させます。

感染ファイルの構造は次のようになります。

  �===================� 
  �感染した
  �ファイルホスト
  �� 
  �--------------------
  ��多形性コード
  ��INVICTUS
  ���� 
  �+ ------------------- +
  ��bodyINVICTUS.DLL
  �+ ------------------- +
  ��の体�� 
  �L--------------------
 L ===================  -

感染ファイルが起動されると、制御フローがINVICTUSライブラリの多形コードに渡されます。これは、プログラムのエントリポイントがウイルスコードを直接指している場合、またはホストの構造に応じて即座に実行されます。 "Entry Point Obscuring " 使われた。このコードは、％SYSTEM％フォルダ内のINVICTUS.DLLライブラリと％TEMP％フォルダ内のランダムなファイル名を持つワームのコードをディスク上で復号化して作成し、ワームを起動します。

ワームのファイルはWindowsアプリケーション（PE EXEファイル）で、長さは約8KBで、アセンブラで書かれています。

インストール

ワームが起動されると、システムに自身をインストールし、電子メールメッセージの送信、Win32ファイルへの感染ルーチン、およびペイロードルーチンの実行ルーチンをアクティブにします。

インストール中に、ワームは自分自身をWindowsディレクトリにarandomファイル名でコピーし、次の値をSYSTEM.INIに書き込みます。

[boot] shell = Explorer.exe％worm name％これは、Windowsの起動時にワームが起動しないように行われます（Windows 9x / MEのみ）。

広がる

ワームは、 "ICQ White pages"検索エンジンを使用して電子メールアドレスを検索します。エンジンに検索クエリを送信し、検索結果（検索結果を含むHTMLページから）から電子メールアドレスを抽出します。検索クエリの単語は、次のリストから選択されます。

MPB
セックス
歴史
mp3
友達
飛行機
フェラーリ
オーガズム
友情
くそ
愛
スポーツ
パーティー
プッシー
アメリカ合衆国
オーディオ

ワームは感染したメッセージを見つけたすべての電子メールに送信します。ワームは、ワームによって選択されたSMTPサーバーへの直接接続を使用します。

感染したメッセージには空のボディが含まれ、そのサブジェクトは次のリストから選択されます。

ビンラディン・トゥルーリ紙！
サダム・フセイン＆ビンラディンIN LOVE
ブッシュ大統領はビンラディンとほとんど関係ない<：P
オサマビンラディンは悪いですか？
ジュネーブ条約に対する米国？
炭疽菌のメールは真実です（冗談ではありません）
生物兵器：予防！
イスラマバードでムラを犯した
ビンラディン、おじいちゃんのお仕事！
サダム・アンド・ビンラディン・アポイソナードス
ブッシュ・フーデンド・ビンラディン<：P
Ser�que o Osama�mal-amado？
EUAのagride convenova de genova？
Antraz pelo correio（verdade）
Armas biologicas：Previna-se！
Fudendo ummul�em Islamabad
ビン・ランデンToalettpapper
サダムフセイン＆ビンラデン
ブッシュ大統領ビンラディンh�rt<：P
オサマ・ビン・ラディン・イン・エス・スカス？
�rUSA emot Geneve�verenskommelsen？
アンスラックスのブリーブエグゼクティブ（det�ringetsk�mt）
生物種：Frrhindra！
イスラマバード
ビンラディン
サダム＆ビンラデンEN AMOUR
ブッシュ・ネイキッド・ビンラディン<：P
オサマビンラディンマルアムム？
ジュネーブ条約には？
Anthraxは存在する
Arme Biologique：Pr�ventions！
Baiser un mullah�イスラマバード
Xarti toualetas Bin Landen !!
Hussein＆Bin Laden、ERASTES
Oブッシュgamaei agriaトンビンラディン
Einai o Osama apotuximenos ston erwta？
ジェノヴァのアメリカン・エナンティア・シノテリオ・シスコ？
H epistoles me Antraka、einai gegonos
Biologika wpla：Prostasia！
Gamontas ena Moula stoイスラマバード

添付ファイル名 ：BINLADEN_BRASIL.EXE

ワームは、メッセージ内のMicrosoft Internet ExplorerでIFRAMEセキュリティ違反を使用するため、感染したメッセージが表示されているときに自動的に起動します。

ローカルディスク上のファイルへの感染

ワームは、Windowsディレクトリ内の次のファイルに感染します。

HH.EXE
NETSTAT.EXE
CALC.EXE

また、このワームは、Windowsアプリケーション（コンピュータ上で起動されたほとんどのアプリケーションはここに登録されています）内のすべてのプログラムを検出し、それらに感染します。次に、このワームは、起動されたEXPLORER.EXEのコピーを見つけてクローズし、ファイルに感染します。

ネットワークリソースにファイルを感染させる

ワームはネットワークリソース（リモートディスクとディレクトリ）を列挙し、それらに接続します。ランダムなファイル名でネットワークリソースに次のディレクトリに自分自身をコピーしようとします：

勝つ
WIN2000
WIN2K
WINNT
WINDOWS
WINXP

リモートシステムに登録してWindowsで自動的に起動します（Windows 9x / MEのみ）。

ペイロードルーチン

ランダムカウンタに応じて、以下の文字列をランダムな色で無作為に描画します。

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU神SHIVA TUPA DIOS DEUS

メッセージボックスを表示します。

その後、ワームは10秒間 "スリープ"し、画面の内容を混乱させます。

その他

ワームは以下のウィンドウを見つけて閉じようとします：

Antiviral Toolkit Pro
AVPモニター
Norton AntiVirus
ゾーンアラーム
自由
Avconsol
McAfee VirusScan
Vshwin32

ワームは以下のレジストリキーを作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBeanLaden

ローカルネットワークからC：ドライブにフルアクセスできるようにその値を設定します。

ワームは以下のレジストリキーを削除します。

HKLMSystemCurrentControlSetServicesVxDNAVAP

と次のレジストリ値：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

ワームは、キャッシュされたすべてのネットワークパスワードを％WINDOWS％BinLaden.iniに書き込みます。

このワームは以下のテキストを含んでいます：

Greetz：Alevirus、Anaktos、Satanicoder、Ultras、Vecna、Z0mbie、#vxersのすべてのppl
もちろん、オサマ・ビンラディン。アントラクスといい仕事をしてください！
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
NBKによってコード化された[MATRiX]
すべてのブラジルのHATES USA …ただアメリカからAmazonを取得しようとする

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、感染した電子メールに添付されたインターネット経由で感染し、Win32アプリケーションをローカルコンピュータやネットワークリソースに感染させるウイルスワームです。 {"Win32.InvictusDLL"：Win32_InvictusDLL}ライブラリを使用してファイルを感染させます。感染ファイルの構造は次のようになります。 �===================� �感染した �ファイルホスト �� -------------------- ��多形性コード ��INVICTUS �� + ------------------- + ��bodyINVICTUS.DLL �+ ------------------- + ��の体�� L-------------------- L =================== - 感染ファイルが起動されると、制御フローがINVICTUSライブラリの多形コードに渡されます。これは、プログラムのエントリポイントがウイルスコードを直接指している場合、またはホストの構造に応じて即座に実行されます。 "Entry Point Obscuring " 使われた。このコードは、％SYSTEM％フォルダ内のINVICTUS.DLLライブラリと％TEMP％フォルダ内のランダムなファイル名を持つワームのコードをディスク上で復号化して作成し、ワームを起動します。ワームのファイルはWindowsアプリケーション（PE EXEファイル）で、長さは約8KBで、アセンブラで書かれています。インストールワームが起動されると、システムに自身をインストールし、電子メールメッセージの送信、Win32ファイルへの感染ルーチン、およびペイロードルーチンの実行ルーチンをアクティブにします。インストール中に、ワームは自分自身をWindowsディレクトリにarandomファイル名でコピーし、次の値をSYSTEM.INIに書き込みます。 [boot] shell = Explorer.exe％worm name％これは、Windowsの起動時にワームが起動しないように行われます（Windows 9x / MEのみ）。広がるワームは、 "ICQ White pages"検索エンジンを使用して電子メールアドレスを検索します。エンジンに検索クエリを送信し、検索結果（検索結果を含むHTMLページから）から電子メールアドレスを抽出します。検索クエリの単語は、次のリストから選択されます。 MPB セックス歴史 mp3 友達飛行機フェラーリオーガズム友情くそ愛スポーツパーティープッシーアメリカ合衆国オーディオワームは感染したメッセージを見つけたすべての電子メールに送信します。ワームは、ワームによって選択されたSMTPサーバーへの直接接続を使用します。感染したメッセージには空のボディが含まれ、そのサブジェクトは次のリストから選択されます。ビンラディン・トゥルーリ紙！サダム・フセイン＆ビンラディンIN LOVE ブッシュ大統領はビンラディンとほとんど関係ない<：P オサマビンラディンは悪いですか？ジュネーブ条約に対する米国？炭疽菌のメールは真実です（冗談ではありません）生物兵器：予防！イスラマバードでムラを犯したビンラディン、おじいちゃんのお仕事！サダム・アンド・ビンラディン・アポイソナードスブッシュ・フーデンド・ビンラディン<：P Ser�que o Osama�mal-amado？ EUAのagride convenova de genova？ Antraz pelo correio（verdade） Armas biologicas：Previna-se！ Fudendo ummul�em Islamabad ビン・ランデンToalettpapper サダムフセイン＆ビンラデンブッシュ大統領ビンラディンh�rt<：P オサマ・ビン・ラディン・イン・エス・スカス？ �rUSA emot Geneve�verenskommelsen？アンスラックスのブリーブエグゼクティブ（det�ringetsk�mt）生物種：Frrhindra！イスラマバードビンラディンサダム＆ビンラデンEN AMOUR ブッシュ・ネイキッド・ビンラディン<：P オサマビンラディンマルアムム？ジュネーブ条約には？ Anthraxは存在する Arme Biologique：Pr�ventions！ Baiser un mullah�イスラマバード Xarti toualetas Bin Landen !! Hussein＆Bin Laden、ERASTES Oブッシュgamaei agriaトンビンラディン Einai o Osama apotuximenos ston erwta？ジェノヴァのアメリカン・エナンティア・シノテリオ・シスコ？ H epistoles me Antraka、einai gegonos Biologika wpla：Prostasia！ Gamontas ena Moula stoイスラマバード添付ファイル名：BINLADEN_BRASIL.EXE ワームは、メッセージ内のMicrosoft Internet ExplorerでIFRAMEセキュリティ違反を使用するため、感染したメッセージが表示されているときに自動的に起動します。ローカルディスク上のファイルへの感染ワームは、Windowsディレクトリ内の次のファイルに感染します。 HH.EXE NETSTAT.EXE CALC.EXE また、このワームは、Windowsアプリケーション（コンピュータ上で起動されたほとんどのアプリケーションはここに登録されています）内のすべてのプログラムを検出し、それらに感染します。次に、このワームは、起動されたEXPLORER.EXEのコピーを見つけてクローズし、ファイルに感染します。ネットワークリソースにファイルを感染させるワームはネットワークリソース（リモートディスクとディレクトリ）を列挙し、それらに接続します。ランダムなファイル名でネットワークリソースに次のディレクトリに自分自身をコピーしようとします：勝つ WIN2000 WIN2K WINNT WINDOWS WINXP リモートシステムに登録してWindowsで自動的に起動します（Windows 9x / MEのみ）。ペイロードルーチンランダムカウンタに応じて、以下の文字列をランダムな色で無作為に描画します。 ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU神SHIVA TUPA DIOS DEUS メッセージボックスを表示します。その後、ワームは10秒間 "スリープ"し、画面の内容を混乱させます。その他ワームは以下のウィンドウを見つけて閉じようとします： Antiviral Toolkit Pro AVPモニター Norton AntiVirus ゾーンアラーム自由 Avconsol McAfee VirusScan Vshwin32 ワームは以下のレジストリキーを作成します。 HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBeanLaden ローカルネットワークからC：ドライブにフルアクセスできるようにその値を設定します。ワームは以下のレジストリキーを削除します。 HKLMSystemCurrentControlSetServicesVxDNAVAP と次のレジストリ値： HKLMSoftwareMicrosoftWindowsCurrentVersionRun Norton Auto-Protect ワームは、キャッシュされたすべてのネットワークパスワードを％WINDOWS％BinLaden.iniに書き込みます。このワームは以下のテキストを含んでいます： Greetz：Alevirus、Anaktos、Satanicoder、Ultras、Vecna、Z0mbie、#vxersのすべてのppl もちろん、オサマ・ビンラディン。アントラクスといい仕事をしてください！ irc.undernet.org \| #vxers www.nbk.hpg.com.br www.coderz.net/mtxvx NBKによってコード化された[MATRiX] すべてのブラジルのHATES USA …ただアメリカからAmazonを取得しようとする
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Toil

技術的な詳細