本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Vybab

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

このワームは、感染したメッセージへの添付ファイルとしてインターネット経由で拡散します。また、EXEファイルに感染する可能性もあります。

Borland Delphiで書かれたPE EXEファイルで、サイズは約140 KBです。

インストール

ワームは、自身をシステムにインストールするときに、Windowsディレクトリに123.txtという名前のファイルを作成します。このファイルには、次のテキスト文字列が含まれています。

ベイビー;蘭製

また、ルートディレクトリとWindowsディレクトリにファイルを作成します。これらのファイルの名前は、3つのランダムな文字と次の拡張子の1つから作成されます。

コウモリ
EXE
htm
rar
doc
xls 

これらのファイルには、ワームの本体が含まれていません。

このワームは、C:rootディレクトリのseeyou.rarという名前の一時ファイルに自身をコピーします。

また、Windows一時ディレクトリにecho.vbsという名前のファイルも作成されます。このファイルには、電子メール経由でワームを伝播させるスクリプトが含まれています。

電子メールによる伝播

ワームまたは感染ファイルの1つが起動されるたびに、ワームはMS Outlookアドレス帳のすべてのアドレスに自身を送信します。感染した電子メールには、次の特徴があります。

メッセージヘッダー:

 Microsoftパック3、o) 

メッセージテキスト:

こんにちは:
これはMicrosoftのクライアントサーバーセンターです
これをチェックして! 

EXEファイルへの感染

このワームは、初めて起動されると、Program Filesディレクトリおよびワームが起動されたディレクトリにあるEXEファイルに感染します。これらのファイルの先頭に自身を書き込みます。

その後、ワームはすべてのアクセス可能なドライブ上のすべてのディレクトリを検索し、見つかったすべてのEXEファイルを感染させます。

感染ファイルが起動すると、使用可能なすべてのドライブのルートディレクトリに自身をコピーし、電子メールで送信します。元の感染していないファイルはWindowsの一時ディレクトリに保存され、感染プロセスが完了すると制御が再確立されます。


オリジナルへのリンク