本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Toil

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で感染し、Win32アプリケーションをローカルコンピュータやネットワークリソースに感染させるウイルスワームです。 {"Win32.InvictusDLL":Win32_InvictusDLL}ライブラリを使用してファイルを感染させます。

感染ファイルの構造は次のようになります。

  �===================� 
  �感染した
  �ファイルホスト
  �� 
  �--------------------
  ��多形性コード
  ��INVICTUS
  ���� 
  �+ ------------------- +
  ��bodyINVICTUS.DLL
  �+ ------------------- +
  ��の体�� 
  �L--------------------
 L ===================  - 

感染ファイルが起動されると、制御フローがINVICTUSライブラリの多形コードに渡されます。これは、プログラムのエントリポイントがウイルスコードを直接指している場合、またはホストの構造に応じて即座に実行されます。 "Entry Point Obscuring " 使われた。このコードは、%SYSTEM%フォルダ内のINVICTUS.DLLライブラリと%TEMP%フォルダ内のランダムなファイル名を持つワームのコードをディスク上で復号化して作成し、ワームを起動します。

ワームのファイルはWindowsアプリケーション(PE EXEファイル)で、長さは約8KBで、アセンブラで書かれています。

インストール

ワームが起動されると、システムに自身をインストールし、電子メールメッセージの送信、Win32ファイルへの感染ルーチン、およびペイロードルーチンの実行ルーチンをアクティブにします。

インストール中に、ワームは自分自身をWindowsディレクトリにarandomファイル名でコピーし、次の値をSYSTEM.INIに書き込みます。

[boot] shell = Explorer.exe%worm name%これは、Windowsの起動時にワームが起動しないように行われます(Windows 9x / MEのみ)。

広がる

ワームは、 "ICQ White pages"検索エンジンを使用して電子メールアドレスを検索します。エンジンに検索クエリを送信し、検索結果(検索結果を含むHTMLページから)から電子メールアドレスを抽出します。検索クエリの単語は、次のリストから選択されます。

MPB
セックス
歴史
mp3
友達
飛行機
フェラーリ
オーガズム
友情
くそ

スポーツ
パーティー
プッシー
アメリカ合衆国
オーディオ

ワームは感染したメッセージを見つけたすべての電子メールに送信します。ワームは、ワームによって選択されたSMTPサーバーへの直接接続を使用します。

感染したメッセージには空のボディが含まれ、そのサブジェクトは次のリストから選択されます。

ビンラディン・トゥルーリ紙!
サダム・フセイン&ビンラディンIN LOVE
ブッシュ大統領はビンラディンとほとんど関係ない<:P
オサマビンラディンは悪いですか?
ジュネーブ条約に対する米国?
炭疽菌のメールは真実です(冗談ではありません)
生物兵器:予防!
イスラマバードでムラを犯した
ビンラディン、おじいちゃんのお仕事!
サダム・アンド・ビンラディン・アポイソナードス
ブッシュ・フーデンド・ビンラディン<:P
Ser�que o Osama�mal-amado?
EUAのagride convenova de genova?
Antraz pelo correio(verdade)
Armas biologicas:Previna-se!
Fudendo ummul�em Islamabad
ビン・ランデンToalettpapper
サダムフセイン&ビンラデン
ブッシュ大統領ビンラディンh�rt<:P
オサマ・ビン・ラディン・イン・エス・スカス?
�rUSA emot Geneve�verenskommelsen?
アンスラックスのブリーブエグゼクティブ(det�ringetsk�mt)
生物種:Frrhindra!
イスラマバード
ビンラディン
サダム&ビンラデンEN AMOUR
ブッシュ・ネイキッド・ビンラディン<:P
オサマビンラディンマルアムム?
ジュネーブ条約には?
Anthraxは存在する
Arme Biologique:Pr�ventions!
Baiser un mullah�イスラマバード
Xarti toualetas Bin Landen !!
Hussein&Bin Laden、ERASTES
Oブッシュgamaei agriaトンビンラディン
Einai o Osama apotuximenos ston erwta?
ジェノヴァのアメリカン・エナンティア・シノテリオ・シスコ?
H epistoles me Antraka、einai gegonos
Biologika wpla:Prostasia!
Gamontas ena Moula stoイスラマバード

添付ファイル名 :BINLADEN_BRASIL.EXE

ワームは、メッセージ内のMicrosoft Internet ExplorerでIFRAMEセキュリティ違反を使用するため、感染したメッセージが表示されているときに自動的に起動します。

ローカルディスク上のファイルへの感染

ワームは、Windowsディレクトリ内の次のファイルに感染します。

HH.EXE
NETSTAT.EXE
CALC.EXE

また、このワームは、Windowsアプリケーション(コンピュータ上で起動されたほとんどのアプリケーションはここに登録されています)内のすべてのプログラムを検出し、それらに感染します。次に、このワームは、起動されたEXPLORER.EXEのコピーを見つけてクローズし、ファイルに感染します。

ネットワークリソースにファイルを感染させる

ワームはネットワークリソース(リモートディスクとディレクトリ)を列挙し、それらに接続します。ランダムなファイル名でネットワークリソースに次のディレクトリに自分自身をコピーしようとします:

勝つ
WIN2000
WIN2K
WINNT
WINDOWS
WINXP

リモートシステムに登録してWindowsで自動的に起動します(Windows 9x / MEのみ)。

ペイロードルーチン

ランダムカウンタに応じて、以下の文字列をランダムな色で無作為に描画します。

ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU神SHIVA TUPA DIOS DEUS

メッセージボックスを表示します。

その後、ワームは10秒間 "スリープ"し、画面の内容を混乱させます。

その他

ワームは以下のウィンドウを見つけて閉じようとします:

Antiviral Toolkit Pro
AVPモニター
Norton AntiVirus
ゾーンアラーム
自由
Avconsol
McAfee VirusScan
Vshwin32

ワームは以下のレジストリキーを作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBeanLaden

ローカルネットワークからC:ドライブにフルアクセスできるようにその値を設定します。

ワームは以下のレジストリキーを削除します。

HKLMSystemCurrentControlSetServicesVxDNAVAP

と次のレジストリ値:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect

ワームは、キャッシュされたすべてのネットワークパスワードを%WINDOWS%BinLaden.iniに書き込みます。

このワームは以下のテキストを含んでいます:

Greetz:Alevirus、Anaktos、Satanicoder、Ultras、Vecna、Z0mbie、#vxersのすべてのppl
もちろん、オサマ・ビンラディン。アントラクスといい仕事をしてください!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
NBKによってコード化された[MATRiX]
すべてのブラジルのHATES USA …ただアメリカからAmazonを取得しようとする


オリジナルへのリンク