親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Email-Worm
Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
一般的な特性
このワームは、中国語版のWindowsでのみ動作し、感染した電子メールメッセージを送信することで感染を広げます。このワームには、スクリプトプログラムとWindows PE EXEファイルという2つのコンポーネントがあります。最初のコンポーネント(スクリプト)は感染した電子メールで送信され、コンピュータに感染し、感染を完了させ、さらにワームのコピーを広げるEXEコンポーネントをダウンロードして実行します。
インストール
ワームは、内部にJavaScriptプログラムを含むHTMLメッセージとして届きます。このスクリプトはメッセージを開くと自動的に処理され、ワームコードは制御を取得します。
注意:
インターネットブラウザと電子メールクライアントには、メッセージに埋め込まれたスクリプトプログラムがディスクファイルやシステムリソースにアクセスするのを防ぐセキュリティ保護機能が組み込まれています。ワームは、電子メールメッセージからシステムを感染させるために、これらの保護を回避する必要があります。これを行うために、Internet Explorer 5のセキュリティ違反、いわゆる "Scriptlet.Typelib脆弱性"(下記参照)を利用します。
その後、ワームは起動ディレクトリを探します.Windowsディレクトリは次の順序で検索されます。
C:WINDOWSスタートメニュープログラム-T-
C:WINDOWスタートメニュープログラム-T-
C:WINStart MenuPrograms-T-
C:WIN98スタートメニュープログラム-T-
C:WIN95スタートメニュープログラム-T-
C:WINDOWS.000Start MenuPrograms-T-
C:WINDOWS.001スタートメニュープログラム-T-
D:WINDOWSスタートメニュープログラム-T-
D:WINDOWスタートメニュープログラム-T-
D:WINStart MenuPrograms-T-
D:WIN98スタートメニュープログラム-T-
D:WIN95スタートメニュープログラム-T-
D:WINDOWS.000Start MenuPrograms-T-
D:WINDOWS.001スタートメニュープログラム-T-
マシンにそのようなディレクトリがない場合、ワームはシステムに感染することができず、さらに拡散することはできません。各行の最後の文字は中国語の文字列で、他のローカルWindowsバージョンでは使用できません。そのため、ワームは中国語のWindowsにのみ影響します。
適切なディレクトリが見つかった場合、ワームはそこに「Microsoft Internet Explorer.hta」ファイルを作成します。このファイルには、もう1つのワームのスクリプトプログラムを含むHTMLアプリケーションが含まれています。このファイルはWindowsの起動ディレクトリに作成されるため、次のWindowsの起動時に実行されます。
一度実行された "Microsoft Internet Explorer.hta"スクリプトは、WindowsシステムディレクトリにMSIE.INIファイルを作成し、そこにローカルSMTPサーバーアドレスを格納します(ワームはシステムレジストリからそのSMTPサーバーアドレスを取得します)。
注意:
SMTPサーバはコンピュータから電子メールを受信するマシンです。スタンドアロンのPCまたは電子メールサーバーがある場合は、プロバイダーのアドレス、またはホスト電子メールサーバーとして電子メールを送受信するために使用されるその他のアドレスです。
その後、ワームはWindowsのシステムディレクトリ(たとえば "C:WINDOWSSYSTEMsystem")に "system"フォルダを作成し、そこからインターネットからMSIE.EXEファイルをダウンロードしようとします。これを行うために、このワームは、標準ユーティリティFTP.EXE用のスクリプトを使用して、10のFTPサイトの1つに接続します。ダウンロードに失敗すると、ワームはループに入り、3分ごとにそれを繰り返そうとします。
MSIE.EXEファイルがダウンロードされると、MSIE.EXEが実行され(MSIE.EXEは自己解凍形式のアーカイブ)、さらに2つのファイルが取得されます。
EXPLORER.EXE
MSWINSCK.OCX
EXPLORER.EXEは2番目のワームコンポーネント(Windows EXEファイル)で、MSWINSCK.OCXはWindowsソケットにアクセスするためのライブラリです。
その後、電子メールアドレスを取得したEXPLORER.EXEファイルを起動し、SMTPプロトコルを使用してワームのスクリプトプログラムで感染メッセージを送信します。犠牲者の電子メールアドレスを取得するために、ワームは* .NCH、* .SNM、* .DBXファイル(メールデータベースファイル)を検索して、すべてのドライブのサブディレクトリツリーをスキャンし、スキャンして電子メールアドレスを探します。
ワームのEXPLORER.EXEは、追加の処理も実行します。まず、スクリプトコンポーネントの「トレース」を消去し、MSIE.HTA、MSIE.LST、MSBOOT.BAT、MSIE.EXEというスクリプトコンポーネントによって作成されたファイルを削除します。 WIN.INIファイルに "run ="コマンドを登録して、各Windows起動時に自動的に実行されます。
また、ワームは、感染したマシン上にその存在に関する著者(または可能なホスト)に通知します。これを行うには、アドレスの1つにメッセージを送信します。
leebill_001@yahoo.com
leebill_002@yahoo.com
...
leebill_023@yahoo.com
23の可能なアドレスがあり、ワームはランダムにそれらの1つを選択します。
ペイロード
ワームは、リモートホストを "リッスン"し、コマンドを実行する "バックドア"ペイロードを持っています。ディレクトリの表示、ファイルのオープン/クローズ/作成/実行/削除など
「Unicle」ワームと対抗できるKaspersky AntiViral Toolkit Pro(AVP)のデモ版は、KasperskyのWebサイト(http://www.kasperskylab.ru/eng/products/eval.asp)から入手できます。
AntiViral Toolkit Proの全機能版は、次のアドレスのインターネット経由でオンラインで購入できます。http://www.kasperskylab.ru/eng/buy/default.asp
「Unicle」ワームからの守り方
マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。
HTMLアプリケーション(HTAファイル)を使用しない場合、この種のウイルス(「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス)による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、次の手順を実行する必要があります。
1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。
2.表示されたウィンドウで、「表示」 - >「オプション...」メニューを選択します。
3. "登録ファイルタイプ"リストボックスの "ファイルタイプ"タブで "HTMLアプリケーション"を選択します。
4. [削除]ボタンをクリックして操作を確認します。
5.オプションを閉じるダイアログボックス。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com