本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。
Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス | Email-Worm |
プラットフォーム | Win32 |
説明 |
技術的な詳細これは、インターネットを介して感染した電子メールに添付されているワームのウイルスです。このワームは、2002年11月末に韓国で野生で発見されました。 このワーム自体は、Microsoft Visual C ++で書かれた約91KbのWindows PE EXEファイルです。ワーム本体のテキスト文字列のほとんどは暗号化されています。 インストールワームをインストールすると、ランダムに選択された名前でWindowsシステムディレクトリに自身をコピーします。
%rnd%は乱数で、システムレジストリの自動実行キーにそのファイルを登録します:
これらのキーには2つの値が書き込まれます。
%worm name%は拡張子のないワームファイル名、%worm file name%は完全なファイル名です(例:
ワームコードのバグのために、 ".default"重複がレジストリキーに書き込まれたようです。 その後、このワームはEXPLORER.PIF名で自身をデスクトップにコピーします。 広がる犠牲者の電子メールを取得するために、このワームは* .HTMと* .DBXファイルを探し、そこから "@microsoft"を持つ電子メールアドレスを抽出します。電子メールアドレスの一部。ワームは、感染したメッセージを送信するために、デフォルトのSMTPサーバーに直接接続します。 自分自身を送信している間、ワームは以下の情報をコピーに付加します。
これらのデータを使用することにより、特定のワームコピー「移行」プロセスをトレースすることが可能になります。 感染したメッセージの電子メールフィールドには異なるデータがあります。 %RegisteredOwner%と%RegisteredOrganization%の下に サブジェクトはランダムに選択されます(ワームの「世代」によって異なります)。
システムレジストリに「RegistreredOrganization」キーがない場合は、最後の(3番目の)バリアントが選択されます。 "N`4"の組み合わせは復号化されない "Re:"文字列ではなく、ワームの作成者がその文字列を対応するルーチンで復号化するのを忘れたようです。 ワームの生成に応じてメッセージ本文も選択されます。
または:
添付ファイル名は異なる場合があります。例:
"WIN"名の最後に乱数がある場合(この場合は "40B1")同時に、電子メールクライアントによっては、感染メッセージ内のこれらの添付ファイルの外観が異なる場合があります。 感染したメッセージから実行するために、ワームは2つのセキュリティ違反を使用します。
ペイロードワームは、アンチウイルスプログラム、ファイアウォール、デバッガを探して、それらを終了させ、ファイルを強制終了します。いくつかの場合(すべての場合?)、ワームはアンチウイルスが検出された場合、おそらくコードの間違いのために、すべてのドライブのすべてのファイルを消去します。 ワームは、Windowsシステムディレクトリ "WIN%Rnd%.TMP"ファイルに移動し、そこに "Win32.Funlove"というウイルスを書き込み、このファイルを実行します。したがって、ワームは "Win32.Funlove"ウイルスでマシンに感染します。 ワームはメッセージを表示します:
無限ループで、ワームはhttp://www.symantec.comのWebサイトを開きます(ワームはそのサーバーでDoS攻撃を実行しようとしているようです)。 ワームには、以下の暗号化されたテキスト文字列もあります。
|
オリジナルへのリンク |
|
お住まいの地域に広がる脅威の統計をご覧ください |