Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体は、約97Kbの長さのWindows PE EXEファイル（UPXで圧縮され、圧縮解除されたときに約132K）であり、Visual Basicで記述されています。

広がる

ワームは、感染したメッセージを送信するために、MS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。感染したメッセージは次のように表示されます。

サブジェクトは、次のバリアントからランダムに選択されます。

隠れファン
誰かがあなたを愛している
アフマからのロマンス
一目ぼれ
…睡眠者が目を覚まし、まだ夢を見ているとき…
私のものになって？！
あなたはいつも
バレンタインおめでとう
私からあなたへ
あなたの永遠の夏は消えてはならない
私はこの種のキスよりも愛の兆しを表明することはできません
詩はエコーであり、影に踊りを求める
O、美しさ、今まで私はあなたを知らなかった！
ロマンチックなジェスチャー
おやすみなさい、甘い君主、そして天使の飛行はあなたを残りの部分に歌います

メッセージ本文に続いて「ユーザー名」が次のバリアントから選択されます。

バレンタインおめでとう
あなたが添付したカードが好きで、
あなたが同じ気持ちにならなくても。

二月の気持ち
それは再びその年の時です。
しかし、私はまだあなたにカードを控えているだけです。
バレンタインおめでとう
あなたが添付したカードが好きで、
あなたが同じ気持ちにならなくても。

こんにちは
私はあなたにこのカードを送る子供のように感じる
私はちょうどそれをやらなければならなかった。
バレンタインおめでとう
あなたが添付したカードが好きで、
あなたが同じ気持ちにならなくても。

…そして私が今までに取ったすべての呼吸は、
私が今まで泣いていたすべての涙、
私が望むすべての星は、
今まで何も見えなかった。
バレンタインおめでとう
あなたが添付したカードが好きで、

この人生では、大きなことはできません。
私たちは大きな愛で小さなことしかできません。
バレンタインおめでとう
あなたが添付したカードが好きで、
あなたが同じ気持ちにならなくても。

添付ファイル ：ValentineCard.exe

インストール

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール中、ワームは "ValentineCard.exe"という名前でWindowsシステムディレクトリに自身をコピーし、そのファイルをシステムレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =％SystemDir％ValentineCard.exe

％SystemDir％はWindowsのシステムディレクトリです。

ペイロード

ワームはインストールされると「not a first run」レジストリキーを書き込みます。

HKLMSoftwareMicrosoftWindowsCurrentVersionバレンタイン=真

このキーのプレゼンスに応じて動作します。バグのため、実行（最初の実行、2番目の実行、…）では、ワームは同じことを行います。「C：evil.jpg」を作成し、サウンドデータをそこに書き込んで開きます。ファイルの拡張子が間違っているため（ ".jpg"画像で、 ".wav"サウンドではない）、システムはそれを受け入れません。このファイルの名前が ".wav"に変更された場合、 "Somebody loves you"というフレーズが再生されます。

ワームはまた、 "C：1.wav"ファイルを作成し、そのウィンドウを開く必要があります（失敗します）。ワームのプログラムウィンドウには、移動するタイトルが必要です。

わたしは、あなたを愛しています！

[バージョン情報]ボタンに、次のメッセージが表示されます。

フラッシュプレーヤー
Flash Player 4.0
コピーライト（C）1996-1999 Macromedia、Inc.
http://www.macromedia.com

木曜日に、WindowsはWindowsを再起動する必要があります。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体は、約97Kbの長さのWindows PE EXEファイル（UPXで圧縮され、圧縮解除されたときに約132K）であり、Visual Basicで記述されています。広がるワームは、感染したメッセージを送信するために、MS Outlookを使用し、Outlookアドレス帳にあるすべてのアドレスにメッセージを送信します。感染したメッセージは次のように表示されます。サブジェクトは、次のバリアントからランダムに選択されます。隠れファン誰かがあなたを愛しているアフマからのロマンス一目ぼれ …睡眠者が目を覚まし、まだ夢を見ているとき… 私のものになって？！あなたはいつもバレンタインおめでとう私からあなたへあなたの永遠の夏は消えてはならない私はこの種のキスよりも愛の兆しを表明することはできません詩はエコーであり、影に踊りを求める O、美しさ、今まで私はあなたを知らなかった！ロマンチックなジェスチャーおやすみなさい、甘い君主、そして天使の飛行はあなたを残りの部分に歌いますメッセージ本文に続いて「ユーザー名」が次のバリアントから選択されます。バレンタインおめでとうあなたが添付したカードが好きで、あなたが同じ気持ちにならなくても。二月の気持ちそれは再びその年の時です。しかし、私はまだあなたにカードを控えているだけです。バレンタインおめでとうあなたが添付したカードが好きで、あなたが同じ気持ちにならなくても。こんにちは私はあなたにこのカードを送る子供のように感じる私はちょうどそれをやらなければならなかった。バレンタインおめでとうあなたが添付したカードが好きで、あなたが同じ気持ちにならなくても。 …そして私が今までに取ったすべての呼吸は、私が今まで泣いていたすべての涙、私が望むすべての星は、今まで何も見えなかった。バレンタインおめでとうあなたが添付したカードが好きで、この人生では、大きなことはできません。私たちは大きな愛で小さなことしかできません。バレンタインおめでとうあなたが添付したカードが好きで、あなたが同じ気持ちにならなくても。添付ファイル：ValentineCard.exe インストールユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。インストール中、ワームは "ValentineCard.exe"という名前でWindowsシステムディレクトリに自身をコピーし、そのファイルをシステムレジストリの自動実行キーに登録します。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun 14th =％SystemDir％ValentineCard.exe ％SystemDir％はWindowsのシステムディレクトリです。ペイロードワームはインストールされると「not a first run」レジストリキーを書き込みます。 HKLMSoftwareMicrosoftWindowsCurrentVersionバレンタイン=真このキーのプレゼンスに応じて動作します。バグのため、実行（最初の実行、2番目の実行、…）では、ワームは同じことを行います。「C：evil.jpg」を作成し、サウンドデータをそこに書き込んで開きます。ファイルの拡張子が間違っているため（ ".jpg"画像で、 ".wav"サウンドではない）、システムはそれを受け入れません。このファイルの名前が ".wav"に変更された場合、 "Somebody loves you"というフレーズが再生されます。ワームはまた、 "C：1.wav"ファイルを作成し、そのウィンドウを開く必要があります（失敗します）。ワームのプログラムウィンドウには、移動するタイトルが必要です。わたしは、あなたを愛しています！ [バージョン情報]ボタンに、次のメッセージが表示されます。フラッシュプレーヤー Flash Player 4.0 コピーライト（C）1996-1999 Macromedia、Inc. http://www.macromedia.com 木曜日に、WindowsはWindowsを再起動する必要があります。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Valcard

技術的な詳細