Email-Worm.Win32.Wargam

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。このワーム自体は、長さ約77KbのWindows PE EXEファイル（ASProtect EXEファイル保護ユーティリティで暗号化されている）で、Borland C ++で書かれています。

感染したメッセージには、Subject / Body / Attachedファイルの次の3つの亜種のうちの1つがあります。

件名 ：％RecipientEmail％へのメール
ボディ ：このパッチをお送りします。
Internet ExplorerとOutlookにバグを修正します。
添付ファイル ：patch.exe

または

または

ユーザーが添付ファイルをクリックした場合にのみ、ワームは感染した電子メールからアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール

インストール中に、このワームは "article.doc.exe"という名前とW.U.K.EXEのようなランダムな ".exe"という名前で自身をWindowsのシステムディレクトリに2回コピーし、後者のファイルを次のディレクトリに登録します。

Win9xの下：WIN.INIファイル、[ウィンドウ]セクション、 "実行="コマンド
WinNTの下で：システムレジストリ実行=キー。

ワームは、追加のレジストリキーも作成します。

HKLMSoftwareMicrosoftWindowsCurrentVersionUninstallWarGamesワーム
DisplayName =ワーム名アンインストール
UninstallString = rundll32マウス、無効にする

ワームはまた、いくつかのプログラムを探し、プロセスを終了しようとします。このリストには、ウイルス対策プログラムだけでなく、いくつかのワイルドスプレッドウイルスがあります。

AVP32.EXE
AVPCC.EXE
AVPM.EXE
WFINDV32.EXE
F-AGNT95.EXE
NAVAPW32.EXE
NAVW32.EXE
NMAIN.EXE
PAVSCHED.EXE
ZONEALARM.EXE
KERN32.EXE
SETUP.EXE
RUNDLLW32.EXE
GONER.SCR
LOAD.EXE
INETD.EXE
FILES32.VXD
SCAM32.EXE
GDI32.EXE
_SETUP.EXE
EXPLORE.EXE
ZIPPED_FILES.EXE

広がる

感染したメッセージを送信するために、このワームは3つの異なる方法を使用します（上記の3種類のメッセージを送信します）。

まず、ユーザーの個人用、デスクトップ用、お気に入り用、インターネットキャッシュディレクトリ内のWindowsディレクトリ内の* .HT *、* .DOC、* .XLSファイルをスキャンし、そこに電子メールアドレスを探し、これらに感染メッセージを送信しますアドレス。

次に、ウイルスはWindowsディレクトリに "wargames.vbs"ファイルを作成し、そこにVBSスクリプトを書き込み、実行します。スクリプトは、感染したメッセージをMS Outlookのアドレス帳からすべてのアドレスに送信します。

最後に、Windows MAPI機能を使用することで、ワームは受信メールボックスに接続し、そこからすべてのメッセージに「回答」します。