Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

一般的な特性

このワームは、中国語版のWindowsでのみ動作し、感染した電子メールメッセージを送信することで感染を広げます。このワームには、スクリプトプログラムとWindows PE EXEファイルという2つのコンポーネントがあります。最初のコンポーネント（スクリプト）は感染した電子メールで送信され、コンピュータに感染し、感染を完了させ、さらにワームのコピーを広げるEXEコンポーネントをダウンロードして実行します。

インストール

ワームは、内部にJavaScriptプログラムを含むHTMLメッセージとして届きます。このスクリプトはメッセージを開くと自動的に処理され、ワームコードは制御を取得します。

注意：
インターネットブラウザと電子メールクライアントには、メッセージに埋め込まれたスクリプトプログラムがディスクファイルやシステムリソースにアクセスするのを防ぐセキュリティ保護機能が組み込まれています。ワームは、電子メールメッセージからシステムを感染させるために、これらの保護を回避する必要があります。これを行うために、Internet Explorer 5のセキュリティ違反、いわゆる "Scriptlet.Typelib脆弱性"（下記参照）を利用します。

その後、ワームは起動ディレクトリを探します.Windowsディレクトリは次の順序で検索されます。

C：WINDOWSスタートメニュープログラム-T-
C：WINDOWスタートメニュープログラム-T-
C：WINStart MenuPrograms-T-
C：WIN98スタートメニュープログラム-T-
C：WIN95スタートメニュープログラム-T-
C：WINDOWS.000Start MenuPrograms-T-
C：WINDOWS.001スタートメニュープログラム-T-
D：WINDOWSスタートメニュープログラム-T-
D：WINDOWスタートメニュープログラム-T-
D：WINStart MenuPrograms-T-
D：WIN98スタートメニュープログラム-T-
D：WIN95スタートメニュープログラム-T-
D：WINDOWS.000Start MenuPrograms-T-
D：WINDOWS.001スタートメニュープログラム-T-

マシンにそのようなディレクトリがない場合、ワームはシステムに感染することができず、さらに拡散することはできません。各行の最後の文字は中国語の文字列で、他のローカルWindowsバージョンでは使用できません。そのため、ワームは中国語のWindowsにのみ影響します。

適切なディレクトリが見つかった場合、ワームはそこに「Microsoft Internet Explorer.hta」ファイルを作成します。このファイルには、もう1つのワームのスクリプトプログラムを含むHTMLアプリケーションが含まれています。このファイルはWindowsの起動ディレクトリに作成されるため、次のWindowsの起動時に実行されます。

一度実行された "Microsoft Internet Explorer.hta"スクリプトは、WindowsシステムディレクトリにMSIE.INIファイルを作成し、そこにローカルSMTPサーバーアドレスを格納します（ワームはシステムレジストリからそのSMTPサーバーアドレスを取得します）。

注意：
SMTPサーバはコンピュータから電子メールを受信するマシンです。スタンドアロンのPCまたは電子メールサーバーがある場合は、プロバイダーのアドレス、またはホスト電子メールサーバーとして電子メールを送受信するために使用されるその他のアドレスです。

その後、ワームはWindowsのシステムディレクトリ（たとえば "C：WINDOWSSYSTEMsystem"）に "system"フォルダを作成し、そこからインターネットからMSIE.EXEファイルをダウンロードしようとします。これを行うために、このワームは、標準ユーティリティFTP.EXE用のスクリプトを使用して、10のFTPサイトの1つに接続します。ダウンロードに失敗すると、ワームはループに入り、3分ごとにそれを繰り返そうとします。

MSIE.EXEファイルがダウンロードされると、MSIE.EXEが実行され（MSIE.EXEは自己解凍形式のアーカイブ）、さらに2つのファイルが取得されます。

EXPLORER.EXE
MSWINSCK.OCX

EXPLORER.EXEは2番目のワームコンポーネント（Windows EXEファイル）で、MSWINSCK.OCXはWindowsソケットにアクセスするためのライブラリです。

その後、電子メールアドレスを取得したEXPLORER.EXEファイルを起動し、SMTPプロトコルを使用してワームのスクリプトプログラムで感染メッセージを送信します。犠牲者の電子メールアドレスを取得するために、ワームは* .NCH、* .SNM、* .DBXファイル（メールデータベースファイル）を検索して、すべてのドライブのサブディレクトリツリーをスキャンし、スキャンして電子メールアドレスを探します。

ワームのEXPLORER.EXEは、追加の処理も実行します。まず、スクリプトコンポーネントの「トレース」を消去し、MSIE.HTA、MSIE.LST、MSBOOT.BAT、MSIE.EXEというスクリプトコンポーネントによって作成されたファイルを削除します。 WIN.INIファイルに "run ="コマンドを登録して、各Windows起動時に自動的に実行されます。

また、ワームは、感染したマシン上にその存在に関する著者（または可能なホスト）に通知します。これを行うには、アドレスの1つにメッセージを送信します。

leebill_001@yahoo.com
leebill_002@yahoo.com
…
leebill_023@yahoo.com

23の可能なアドレスがあり、ワームはランダムにそれらの1つを選択します。

ペイロード

ワームは、リモートホストを "リッスン"し、コマンドを実行する "バックドア"ペイロードを持っています。ディレクトリの表示、ファイルのオープン/クローズ/作成/実行/削除など

「Unicle」ワームと対抗できるKaspersky AntiViral Toolkit Pro（AVP）のデモ版は、KasperskyのWebサイト（http://www.kasperskylab.ru/eng/products/eval.asp）から入手できます。

AntiViral Toolkit Proの全機能版は、次のアドレスのインターネット経由でオンラインで購入できます。http://www.kasperskylab.ru/eng/buy/default.asp

「Unicle」ワームからの守り方

マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。

HTMLアプリケーション（HTAファイル）を使用しない場合、この種のウイルス（「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス）による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、次の手順を実行する必要があります。

1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。
2.表示されたウィンドウで、「表示」 – >「オプション…」メニューを選択します。
3. "登録ファイルタイプ"リストボックスの "ファイルタイプ"タブで "HTMLアプリケーション"を選択します。
4. [削除]ボタンをクリックして操作を確認します。
5.オプションを閉じるダイアログボックス。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細一般的な特性このワームは、中国語版のWindowsでのみ動作し、感染した電子メールメッセージを送信することで感染を広げます。このワームには、スクリプトプログラムとWindows PE EXEファイルという2つのコンポーネントがあります。最初のコンポーネント（スクリプト）は感染した電子メールで送信され、コンピュータに感染し、感染を完了させ、さらにワームのコピーを広げるEXEコンポーネントをダウンロードして実行します。インストールワームは、内部にJavaScriptプログラムを含むHTMLメッセージとして届きます。このスクリプトはメッセージを開くと自動的に処理され、ワームコードは制御を取得します。注意：インターネットブラウザと電子メールクライアントには、メッセージに埋め込まれたスクリプトプログラムがディスクファイルやシステムリソースにアクセスするのを防ぐセキュリティ保護機能が組み込まれています。ワームは、電子メールメッセージからシステムを感染させるために、これらの保護を回避する必要があります。これを行うために、Internet Explorer 5のセキュリティ違反、いわゆる "Scriptlet.Typelib脆弱性"（下記参照）を利用します。その後、ワームは起動ディレクトリを探します.Windowsディレクトリは次の順序で検索されます。 C：WINDOWSスタートメニュープログラム-T- C：WINDOWスタートメニュープログラム-T- C：WINStart MenuPrograms-T- C：WIN98スタートメニュープログラム-T- C：WIN95スタートメニュープログラム-T- C：WINDOWS.000Start MenuPrograms-T- C：WINDOWS.001スタートメニュープログラム-T- D：WINDOWSスタートメニュープログラム-T- D：WINDOWスタートメニュープログラム-T- D：WINStart MenuPrograms-T- D：WIN98スタートメニュープログラム-T- D：WIN95スタートメニュープログラム-T- D：WINDOWS.000Start MenuPrograms-T- D：WINDOWS.001スタートメニュープログラム-T- マシンにそのようなディレクトリがない場合、ワームはシステムに感染することができず、さらに拡散することはできません。各行の最後の文字は中国語の文字列で、他のローカルWindowsバージョンでは使用できません。そのため、ワームは中国語のWindowsにのみ影響します。適切なディレクトリが見つかった場合、ワームはそこに「Microsoft Internet Explorer.hta」ファイルを作成します。このファイルには、もう1つのワームのスクリプトプログラムを含むHTMLアプリケーションが含まれています。このファイルはWindowsの起動ディレクトリに作成されるため、次のWindowsの起動時に実行されます。一度実行された "Microsoft Internet Explorer.hta"スクリプトは、WindowsシステムディレクトリにMSIE.INIファイルを作成し、そこにローカルSMTPサーバーアドレスを格納します（ワームはシステムレジストリからそのSMTPサーバーアドレスを取得します）。注意： SMTPサーバはコンピュータから電子メールを受信するマシンです。スタンドアロンのPCまたは電子メールサーバーがある場合は、プロバイダーのアドレス、またはホスト電子メールサーバーとして電子メールを送受信するために使用されるその他のアドレスです。その後、ワームはWindowsのシステムディレクトリ（たとえば "C：WINDOWSSYSTEMsystem"）に "system"フォルダを作成し、そこからインターネットからMSIE.EXEファイルをダウンロードしようとします。これを行うために、このワームは、標準ユーティリティFTP.EXE用のスクリプトを使用して、10のFTPサイトの1つに接続します。ダウンロードに失敗すると、ワームはループに入り、3分ごとにそれを繰り返そうとします。 MSIE.EXEファイルがダウンロードされると、MSIE.EXEが実行され（MSIE.EXEは自己解凍形式のアーカイブ）、さらに2つのファイルが取得されます。 EXPLORER.EXE MSWINSCK.OCX EXPLORER.EXEは2番目のワームコンポーネント（Windows EXEファイル）で、MSWINSCK.OCXはWindowsソケットにアクセスするためのライブラリです。その後、電子メールアドレスを取得したEXPLORER.EXEファイルを起動し、SMTPプロトコルを使用してワームのスクリプトプログラムで感染メッセージを送信します。犠牲者の電子メールアドレスを取得するために、ワームは* .NCH、* .SNM、* .DBXファイル（メールデータベースファイル）を検索して、すべてのドライブのサブディレクトリツリーをスキャンし、スキャンして電子メールアドレスを探します。ワームのEXPLORER.EXEは、追加の処理も実行します。まず、スクリプトコンポーネントの「トレース」を消去し、MSIE.HTA、MSIE.LST、MSBOOT.BAT、MSIE.EXEというスクリプトコンポーネントによって作成されたファイルを削除します。 WIN.INIファイルに "run ="コマンドを登録して、各Windows起動時に自動的に実行されます。また、ワームは、感染したマシン上にその存在に関する著者（または可能なホスト）に通知します。これを行うには、アドレスの1つにメッセージを送信します。 leebill_001@yahoo.com leebill_002@yahoo.com … leebill_023@yahoo.com 23の可能なアドレスがあり、ワームはランダムにそれらの1つを選択します。ペイロードワームは、リモートホストを "リッスン"し、コマンドを実行する "バックドア"ペイロードを持っています。ディレクトリの表示、ファイルのオープン/クローズ/作成/実行/削除など「Unicle」ワームと対抗できるKaspersky AntiViral Toolkit Pro（AVP）のデモ版は、KasperskyのWebサイト（http://www.kasperskylab.ru/eng/products/eval.asp）から入手できます。 AntiViral Toolkit Proの全機能版は、次のアドレスのインターネット経由でオンラインで購入できます。http://www.kasperskylab.ru/eng/buy/default.asp 「Unicle」ワームからの守り方マイクロソフトはセキュリティ "Scriptlet.Typelib"の脆弱性を排除するアップデートをリリースしました。 http://support.microsoft.com/support/kb/articles/Q240/3/08.ASPにアクセスしてこのアップデートをインストールすることを強くお勧めします。 HTMLアプリケーション（HTAファイル）を使用しない場合、この種のウイルス（「Scriptlet.Typelib」セキュリティ脆弱性を使用するワームやウイルス）による感染を防ぐもう1つの方法があります。 .HTA拡張のファイル関連付けを削除する必要があります。これを行うには、次の手順を実行する必要があります。 1.デスクトップの[マイコンピュータ]アイコンをダブルクリックします。 2.表示されたウィンドウで、「表示」 – >「オプション…」メニューを選択します。 3. "登録ファイルタイプ"リストボックスの "ファイルタイプ"タブで "HTMLアプリケーション"を選択します。 4. [削除]ボタンをクリックして操作を確認します。 5.オプションを閉じるダイアログボックス。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Unicle

技術的な詳細

一般的な特性

インストール

ペイロード

「Unicle」ワームからの守り方