Email-Worm.Win32.Vybab

技術的な詳細

このワームは、感染したメッセージへの添付ファイルとしてインターネット経由で拡散します。また、EXEファイルに感染する可能性もあります。

Borland Delphiで書かれたPE EXEファイルで、サイズは約140 KBです。

インストール

ワームは、自身をシステムにインストールするときに、Windowsディレクトリに123.txtという名前のファイルを作成します。このファイルには、次のテキスト文字列が含まれています。

ベイビー;蘭製

また、ルートディレクトリとWindowsディレクトリにファイルを作成します。これらのファイルの名前は、3つのランダムな文字と次の拡張子の1つから作成されます。

コウモリ
EXE
htm
rar
doc
xls 

これらのファイルには、ワームの本体が含まれていません。

このワームは、C：rootディレクトリのseeyou.rarという名前の一時ファイルに自身をコピーします。

また、Windows一時ディレクトリにecho.vbsという名前のファイルも作成されます。このファイルには、電子メール経由でワームを伝播させるスクリプトが含まれています。

電子メールによる伝播

ワームまたは感染ファイルの1つが起動されるたびに、ワームはMS Outlookアドレス帳のすべてのアドレスに自身を送信します。感染した電子メールには、次の特徴があります。

メッセージヘッダー：

 Microsoftパック3、o） 

メッセージテキスト：

こんにちは：
これはMicrosoftのクライアントサーバーセンターです
これをチェックして！ 

EXEファイルへの感染

このワームは、初めて起動されると、Program Filesディレクトリおよびワームが起動されたディレクトリにあるEXEファイルに感染します。これらのファイルの先頭に自身を書き込みます。

その後、ワームはすべてのアクセス可能なドライブ上のすべてのディレクトリを検索し、見つかったすべてのEXEファイルを感染させます。

感染ファイルが起動すると、使用可能なすべてのドライブのルートディレクトリに自身をコピーし、電子メールで送信します。元の感染していないファイルはWindowsの一時ディレクトリに保存され、感染プロセスが完了すると制御が再確立されます。