本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Unicle

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

一般的な特性

このワームは、中国語版のWindowsでのみ動作し、感染した電子メールメッセージを送信することで感染を広げます。このワームには、スクリプトプログラムとWindows PE EXEファイルという2つのコンポーネントがあります。最初のコンポーネント(スクリプト)は感染した電子メールで送信され、コンピュータに感染し、感染を完了させ、さらにワームのコピーを広げるEXEコンポーネントをダウンロードして実行します。

インストール

ワームは、内部にJavaScriptプログラムを含むHTMLメッセージとして届きます。このスクリプトはメッセージを開くと自動的に処理され、ワー​​ムコードは制御を取得します。

注意:
インターネットブラウザと電子メールクライアントには、メッセージに埋め込まれたスクリプトプログラムがディスクファイルやシステムリソースにアクセスするのを防ぐセキュリティ保護機能が組み込まれています。ワームは、電子メールメッセージからシステムを感染させるために、これらの保護を回避する必要があります。これを行うために、Internet Explorer 5のセキュリティ違反、いわゆる "Scriptlet.Typelib脆弱性"(下記参照)を利用します。

その後、ワームは起動ディレクトリを探します.Windowsディレクトリは次の順序で検索されます。

C:WINDOWSスタートメニュープログラム-T-
C:WINDOWスタートメニュープログラム-T-
C:WINStart MenuPrograms-T-
C:WIN98スタートメニュープログラム-T-
C:WIN95スタートメニュープログラム-T-
C:WINDOWS.000Start MenuPrograms-T-
C:WINDOWS.001スタートメニュープログラム-T-
D:WINDOWSスタートメニュープログラム-T-
D:WINDOWスタートメニュープログラム-T-
D:WINStart MenuPrograms-T-
D:WIN98スタートメニュープログラム-T-
D:WIN95スタートメニュープログラム-T-
D:WINDOWS.000Start MenuPrograms-T-
D:WINDOWS.001スタートメニュープログラム-T-

マシンにそのようなディレクトリがない場合、ワームはシステムに感染することができず、さらに拡散することはできません。各行の最後の文字は中国語の文字列で、他のローカルWindowsバージョンでは使用できません。そのため、ワームは中国語のWindowsにのみ影響します。

適切なディレクトリが見つかった場合、ワームはそこに「Microsoft Internet Explorer.hta」ファイルを作成します。このファイルには、もう1つのワームのスクリプトプログラムを含むHTMLアプリケーションが含まれています。このファイルはWindowsの起動ディレクトリに作成されるため、次のWindowsの起動時に実行されます。

一度実行された "Microsoft Internet Explorer.hta"スクリプトは、WindowsシステムディレクトリにMSIE.INIファイルを作成し、そこにローカルSMTPサーバーアドレスを格納します(ワームはシステムレジストリからそのSMTPサーバーアドレスを取得します)。

注意:
SMTPサーバはコンピュータから電子メールを受信するマシンです。スタンドアロンのPCまたは電子メールサーバーがある場合は、プロバイダーのアドレス、またはホスト電子メールサーバーとして電子メールを送受信するために使用されるその他のアドレスです。

その後、ワームはWindowsのシステムディレクトリ(たとえば "C:WINDOWSSYSTEMsystem")に "system"フォルダを作成し、そこからインターネットからMSIE.EXEファイルをダウンロードしようとします。これを行うために、このワームは、標準ユーティリティFTP.EXE用のスクリプトを使用して、10のFTPサイトの1つに接続します。ダウンロードに失敗すると、ワームはループに入り、3分ごとにそれを繰り返そうとします。

MSIE.EXEファイルがダウンロードされると、MSIE.EXEが実行され(MSIE.EXEは自己解凍形式のアーカイブ)、さらに2つのファイルが取得されます。

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXEは2番目のワームコンポーネント(Windows EXEファイル)で、MSWINSCK.OCXはWindowsソケットにアクセスするためのライブラリです。

その後、電子メールアドレスを取得したEXPLORER.EXEファイルを起動し、SMTPプロトコルを使用してワームのスクリプトプログラムで感染メッセージを送信します。犠牲者の電子メールアドレスを取得するために、ワームは* .NCH、* .SNM、* .DBXファイル(メールデータベースファイル)を検索して、すべてのドライブのサブディレクトリツリーをスキャンし、スキャンして電子メールアドレスを探します。

ワームのEXPLORER.EXEは、追加の処理も実行します。まず、スクリプトコンポーネントの「トレース」を消去し、MSIE.HTA、MSIE.LST、MSBOOT.BAT、MSIE.EXEというスクリプトコンポーネントによって作成されたファイルを削除します。 WIN.INIファイルに "run ="コマンドを登録して、各Windows起動時に自動的に実行されます。

また、ワームは、感染したマシン上にその存在に関する著者(または可能なホスト)に通知します。これを行うには、アドレスの1つにメッセージを送信します。

leebill_001@yahoo.com
leebill_002@yahoo.com

leebill_023@yahoo.com

23の可能なアドレスがあり、ワームはランダムにそれらの1つを選択します。

ペイロード

ワームは、リモートホストを "リッスン"し、コマンドを実行する "バックドア"ペイロードを持っています。ディレクトリの表示、ファイルのオープン/クローズ/作成/実行/削除など

「Unicle」ワームと対抗できるKaspersky AntiViral Toolkit Pro(AVP)のデモ版は、KasperskyのWebサイト(http://www.kasperskylab.ru/eng/products/eval.asp)から入手できます。

AntiViral Toolkit Proの全機能版は、次のアドレスのインターネット経由でオンラインで購入できます。http://www.kasperskylab.ru/eng/buy/default.asp

「Unicle」ワームからの守り方

マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。

HTMLアプリケーション(HTAファイル)を使用しない場合、この種のウイルス(「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス)による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、次の手順を実行する必要があります。

1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。
2.表示されたウィンドウで、「表示」 – >「オプション…」メニューを選択します。
3. "登録ファイルタイプ"リストボックスの "ファイルタイプ"タブで "HTMLアプリケーション"を選択します。
4. [削除]ボタンをクリックして操作を確認します。
5.オプションを閉じるダイアログボックス。


オリジナルへのリンク