親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、感染した電子メールに添付されたインターネット経由で感染し、Win32アプリケーションをローカルコンピュータやネットワークリソースに感染させるウイルスワームです。 {"Win32.InvictusDLL":Win32_InvictusDLL}ライブラリを使用してファイルを感染させます。
感染ファイルの構造は次のようになります。
�===================� �感染した �ファイルホスト �� �-------------------- ��多形性コード ��INVICTUS ���� �+ ------------------- + ��bodyINVICTUS.DLL �+ ------------------- + ��の体�� �L-------------------- L =================== -
感染ファイルが起動されると、制御フローがINVICTUSライブラリの多形コードに渡されます。これは、プログラムのエントリポイントがウイルスコードを直接指している場合、またはホストの構造に応じて即座に実行されます。 "Entry Point Obscuring " 使われた。このコードは、%SYSTEM%フォルダ内のINVICTUS.DLLライブラリと%TEMP%フォルダ内のランダムなファイル名を持つワームのコードをディスク上で復号化して作成し、ワームを起動します。
ワームのファイルはWindowsアプリケーション(PE EXEファイル)で、長さは約8KBで、アセンブラで書かれています。
インストール
ワームが起動されると、システムに自身をインストールし、電子メールメッセージの送信、Win32ファイルへの感染ルーチン、およびペイロードルーチンの実行ルーチンをアクティブにします。
インストール中に、ワームは自分自身をWindowsディレクトリにarandomファイル名でコピーし、次の値をSYSTEM.INIに書き込みます。[boot] shell = Explorer.exe%worm name%これは、Windowsの起動時にワームが起動しないように行われます(Windows 9x / MEのみ)。
広がる
ワームは、 "ICQ White pages"検索エンジンを使用して電子メールアドレスを検索します。エンジンに検索クエリを送信し、検索結果(検索結果を含むHTMLページから)から電子メールアドレスを抽出します。検索クエリの単語は、次のリストから選択されます。
MPB
セックス
歴史
mp3
友達
飛行機
フェラーリ
オーガズム
友情
くそ
愛
スポーツ
パーティー
プッシー
アメリカ合衆国
オーディオ
ワームは感染したメッセージを見つけたすべての電子メールに送信します。ワームは、ワームによって選択されたSMTPサーバーへの直接接続を使用します。
感染したメッセージには空のボディが含まれ、そのサブジェクトは次のリストから選択されます。
ビンラディン・トゥルーリ紙!
サダム・フセイン&ビンラディンIN LOVE
ブッシュ大統領はビンラディンとほとんど関係ない<:P
オサマビンラディンは悪いですか?
ジュネーブ条約に対する米国?
炭疽菌のメールは真実です(冗談ではありません)
生物兵器:予防!
イスラマバードでムラを犯した
ビンラディン、おじいちゃんのお仕事!
サダム・アンド・ビンラディン・アポイソナードス
ブッシュ・フーデンド・ビンラディン<:P
Ser�que o Osama�mal-amado?
EUAのagride convenova de genova?
Antraz pelo correio(verdade)
Armas biologicas:Previna-se!
Fudendo ummul�em Islamabad
ビン・ランデンToalettpapper
サダムフセイン&ビンラデン
ブッシュ大統領ビンラディンh�rt<:P
オサマ・ビン・ラディン・イン・エス・スカス?
�rUSA emot Geneve�verenskommelsen?
アンスラックスのブリーブエグゼクティブ(det�ringetsk�mt)
生物種:Frrhindra!
イスラマバード
ビンラディン
サダム&ビンラデンEN AMOUR
ブッシュ・ネイキッド・ビンラディン<:P
オサマビンラディンマルアムム?
ジュネーブ条約には?
Anthraxは存在する
Arme Biologique:Pr�ventions!
Baiser un mullah�イスラマバード
Xarti toualetas Bin Landen !!
Hussein&Bin Laden、ERASTES
Oブッシュgamaei agriaトンビンラディン
Einai o Osama apotuximenos ston erwta?
ジェノヴァのアメリカン・エナンティア・シノテリオ・シスコ?
H epistoles me Antraka、einai gegonos
Biologika wpla:Prostasia!
Gamontas ena Moula stoイスラマバード
添付ファイル名 :BINLADEN_BRASIL.EXE
ワームは、メッセージ内のMicrosoft Internet ExplorerでIFRAMEセキュリティ違反を使用するため、感染したメッセージが表示されているときに自動的に起動します。
ローカルディスク上のファイルへの感染
ワームは、Windowsディレクトリ内の次のファイルに感染します。
HH.EXE
NETSTAT.EXE
CALC.EXE
また、このワームは、Windowsアプリケーション(コンピュータ上で起動されたほとんどのアプリケーションはここに登録されています)内のすべてのプログラムを検出し、それらに感染します。次に、このワームは、起動されたEXPLORER.EXEのコピーを見つけてクローズし、ファイルに感染します。
ネットワークリソースにファイルを感染させる
ワームはネットワークリソース(リモートディスクとディレクトリ)を列挙し、それらに接続します。ランダムなファイル名でネットワークリソースに次のディレクトリに自分自身をコピーしようとします:
勝つ
WIN2000
WIN2K
WINNT
WINDOWS
WINXP
リモートシステムに登録してWindowsで自動的に起動します(Windows 9x / MEのみ)。
ペイロードルーチン
ランダムカウンタに応じて、以下の文字列をランダムな色で無作為に描画します。
ALA DIO GOTT ZEUS JEOVA KRISHNA OXALA DIEU神SHIVA TUPA DIOS DEUS
メッセージボックスを表示します。
その後、ワームは10秒間 "スリープ"し、画面の内容を混乱させます。
その他
ワームは以下のウィンドウを見つけて閉じようとします:
Antiviral Toolkit Pro
AVPモニター
Norton AntiVirus
ゾーンアラーム
自由
Avconsol
McAfee VirusScan
Vshwin32
ワームは以下のレジストリキーを作成します。
HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanManBeanLaden
ローカルネットワークからC:ドライブにフルアクセスできるようにその値を設定します。
ワームは以下のレジストリキーを削除します。
HKLMSystemCurrentControlSetServicesVxDNAVAP
と次のレジストリ値:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Norton Auto-Protect
ワームは、キャッシュされたすべてのネットワークパスワードを%WINDOWS%BinLaden.iniに書き込みます。
このワームは以下のテキストを含んでいます:
Greetz:Alevirus、Anaktos、Satanicoder、Ultras、Vecna、Z0mbie、#vxersのすべてのppl
もちろん、オサマ・ビンラディン。アントラクスといい仕事をしてください!
irc.undernet.org | #vxers
www.nbk.hpg.com.br
www.coderz.net/mtxvx
NBKによってコード化された[MATRiX]
すべてのブラジルのHATES USA ...ただアメリカからAmazonを取得しようとするも参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!