本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Wargam

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。このワーム自体は、長さ約77KbのWindows PE EXEファイル(ASProtect EXEファイル保護ユーティリティで暗号化されている)で、Borland C ++で書かれています。

感染したメッセージには、Subject / Body / Attachedファイルの次の3つの亜種のうちの1つがあります。

件名 :%RecipientEmail%へのメール
ボディ :このパッチをお送りします。
Internet ExplorerとOutlookにバグを修正します。
添付ファイル :patch.exe

または

または

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール

インストール中に、このワームは "article.doc.exe"という名前とW.U.K.EXEのようなランダムな ".exe"という名前で自身をWindowsのシステムディレクトリに2回コピーし、後者のファイルを次のディレクトリに登録します。

Win9xの下:WIN.INIファイル、[ウィンドウ]セクション、 "実行="コマンド
WinNTの下で:システムレジストリ実行=キー。

ワームは、追加のレジストリキーも作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGamesワーム
DisplayName =ワーム名アンインストール
UninstallString = rundll32マウス、無効にする

ワームはまた、いくつかのプログラムを探し、プロセスを終了しようとします。このリストには、ウイルス対策プログラムだけでなく、いくつかのワイルドスプレッドウイルスがあります。

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

広がる

感染したメッセージを送信するために、このワームは3つの異なる方法を使用します(上記の3種類のメッセージを送信します)。

まず、ユーザーの個人用、デスクトップ用、お気に入り用、インターネットキャッシュディレクトリ内のWindowsディレクトリ内の* .HT *、* .DOC、* .XLSファイルをスキャンし、そこに電子メールアドレスを探し、これらに感染メッセージを送信しますアドレス。

次に、ウイルスはWindowsディレクトリに "wargames.vbs"ファイルを作成し、そこにVBSスクリプトを書き込み、実行します。スクリプトは、感染したメッセージをMS Outlookのアドレス帳からすべてのアドレスに送信します。

最後に、Windows MAPI機能を使用することで、ワームは受信メールボックスに接続し、そこからすべてのメッセージに「回答」します。


オリジナルへのリンク