本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Email-Worm.Win32.Winevar

クラス Email-Worm
プラットフォーム Win32
説明

技術的な詳細

これは、インターネットを介して感染した電子メールに添付されているワームのウイルスです。このワームは、2002年11月末に韓国で野生で発見されました。

このワーム自体は、Microsoft Visual C ++で書かれた約91KbのWindows PE EXEファイルです。ワーム本体のテキスト文字列のほとんどは暗号化されています。

インストール

ワームをインストールすると、ランダムに選択された名前でWindowsシステムディレクトリに自身をコピーします。

WIN%rnd%.PIF

%rnd%は乱数で、システムレジストリの自動実行キーにそのファイルを登録します:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

これらのキーには2つの値が書き込まれます。

.default =ワームファイル名%
%ワーム名%=%ワームファイル名%

%worm name%は拡張子のないワームファイル名、%worm file name%は完全なファイル名です(例:

.default = "C:\ TEMP \ WIND2C2.pif"
"WINA2B3" = "C:\ WINDOWS \ SYSTEM \ WINA2B3.pif"

ワームコードのバグのために、 ".default"重複がレジストリキーに書き込まれたようです。

その後、このワームはEXPLORER.PIF名で自身をデスクトップにコピーします。

広がる

犠牲者の電子メールを取得するために、このワームは* .HTMと* .DBXファイルを探し、そこから "@microsoft"を持つ電子メールアドレスを抽出します。電子メールアドレスの一部。ワームは、感染したメッセージを送信するために、デフォルトのSMTPサーバーに直接接続します。

自分自身を送信している間、ワームは以下の情報をコピーに付加します。

– 国の地域ID(例:[KOR]、[RUS] – 韓国とロシアの場合)
– 現在の日付と時刻
– ユーザー名と会社名(登録情報に保存されている)

これらのデータを使用することにより、特定のワームコピー「移行」プロセスをトレースすることが可能になります。

感染したメッセージの電子メールフィールドには異なるデータがあります。 %RegisteredOwner%と%RegisteredOrganization%の下に

サブジェクトはランダムに選択されます(ワームの「世代」によって異なります)。

Re:AVAR(Anti-Virus Asia Reseachersの協会)
N'4%RegisteredOrganization%
N'4 Trand Microsoft Inc.

システムレジストリに「RegistreredOrganization」キーがない場合は、最後の(3番目の)バリアントが選択されます。 "N`4"の組み合わせは復号化されない "Re:"文字列ではなく、ワームの作成者がその文字列を対応するルーチンで復号化するのを忘れたようです。

ワームの生成に応じてメッセージ本文も選択されます。

%RegisteredOwner% – %RegisteredOrganization%

または:

AVAR(Anti-Virus Asia Reseachersの協会) – レポート
常に、アンチウィルスプログラムは非常に愚かです。

添付ファイル名は異なる場合があります。例:

MUSIC_1.HTM、MUSIC_2.CEO
WIN40B1.TXT、WIN40B1.GIF

"WIN"名の最後に乱数がある場合(この場合は "40B1")同時に、電子メールクライアントによっては、感染メッセージ内のこれらの添付ファイルの外観が異なる場合があります。

感染したメッセージから実行するために、ワームは2つのセキュリティ違反を使用します。

Microsoft VM ActiveXコンポーネント
MIMEヘッダーが正しくないとIEが電子メールの添付ファイルを実行する

ペイロード

ワームは、アンチウイルスプログラム、ファイアウォール、デバッガを探して、それらを終了させ、ファイルを強制終了します。いくつかの場合(すべての場合?)、ワームはアンチウイルスが検出された場合、おそらくコードの間違いのために、すべてのドライブのすべてのファイルを消去します。

ワームは、Windowsシステムディレクトリ "WIN%Rnd%.TMP"ファイルに移動し、そこに "Win32.Funlove"というウイルスを書き込み、このファイルを実行します。したがって、ワームは "Win32.Funlove"ウイルスでマシンに感染します。

ワームはメッセージを表示します:

自分をばかにする
あなたは何をしたのですか?

無限ループで、ワームはhttp://www.symantec.comのWebサイトを開きます(ワームはそのサーバーでDoS攻撃を実行しようとしているようです)。

ワームには、以下の暗号化されたテキスト文字列もあります。

スタークラフトのドローン~~
http://www.sex.com/


オリジナルへのリンク