Email-Worm.Win32.XCod

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」（例：Backdoors）または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか（すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか）電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング（例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ）、ネットワーク構成エラー（完全にアクセス可能なディスクへのコピーなど）を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク（例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL）として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた（起動された）ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです：ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています：MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル：ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います（一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します）。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム（Windows XP、Windows 7など）上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これはEmail / IRCワームです。ワーム本体自体は、VisualBasicで書かれたWin32 PE EXEファイルです。ワームは、あまりにも多くのバグがあり、うまく説明できません。

それは自身にコピーします：

C：windowsinstall_.exe
C：windowssystemsysboot_.exe

レジストリキーに自身を登録します。

HKEY_CLASSES_ROOTexefileshellopenコマンド
"C：windowssystemsystray_.exe"％1％*

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemTray = C：Windowssystemsystray_.exe
SystemTray = C：Windowssystemsysboot_.exe

（最後の行は最初の行と重複するので、システムレジストリでは最初の行は消えます）。

HKEY_LOCAL_MACHINESoftwareWinsysinfo
プログラム名= X-Coderz
CurrentVersionNumber = X-Coderz.VBS.03.A

（それはもっと多くの行を書き込むつもりだが失敗する）。

電子メールで送信されたメッセージ（これも失敗します）にはINSTALL_.EXE添付ファイルが含まれています。メッセージテキストと件名はバリアントから選択されています。

ねえ
ねえ、物事はどうですか？私はあなたに知らせるためにこの電子メールを書いています
あなたがおそらく見つける次のメールで添付ファイルを送信する。それは非常に
有用。やった！また近いうちにお会いしましょう

ねえ、もう一度、あなたは大人のためのインストールプログラムに行く
唯一の明示的なスクリーンセーバー（ポルノ）

ねえ、もう一度、あなたはOutlookのインストールプログラムに行く
エクスプレスセキュリティアップグレード

ねえ、もう一度、あなたはMicrosoftのインストールプログラムに行く
ExplorerパッチV7.5（多くのサイトで必要）

ねえ、もう一度、あなたはクールなゲームのためのインストールプログラムに行くここ
私はWeb上で見つけた、それを試してみてください！

ねえ、もう一度、あなたはそのインストールプログラムに行く
プラグイン付きの優れたMP3プレーヤーLIMITED EDITION

そのIRCチャンネルを広めるため、ワームはC：MircディレクトリのmIRCクライアントに影響を与えます。ワームは、SCRIPT.INIファイルに「installx2.exe」という名前のワームコピーをIRCチャネルに送信し、そこにメッセージも送信します（正常に）

これは見るべき。ハードコア、イエスについて語る！これは、
最高...あなたはこれを見なければならない、ちょうどそれを見て！

ワームは、Norton Anti-Virusのデータファイルを削除します。C：Program FilesNorton AntiVirus * .dat

6月22日に、ワームはメッセージボックスを表示しようとしますが、失敗します。

X-Coderz VBSウイルス0.3
X-Coderzがコントロールを取った

次に：

X-Coderz？
システムからウイルスを削除しますか？

その後：

X-Coderz
ファックあなた!!!!!!

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com