English
Russian
Japanese
LatAm
Türkiye
Brasil
France
Český
Deutschland
本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。
Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
Email-Worm.Win32.Xanax
| クラス | Email-Worm |
| プラットフォーム | Win32 |
| 説明 |
技術的な詳細これは2001年3月中旬に野生で見つかったインターネットワームです。このワームは感染したコンピュータから感染したメッセージをIRCチャネル経由で感染者に送信することにより電子メールで感染します。このワームは、Windowsディレクトリ内のEXEファイルにも感染します。 ワーム自体は、Microsoft Visual C ++言語で書かれたWin32アプリケーション(PE EXEファイル)です。ワームのサイズは約60Kですが、圧縮形式で見つかりました。ワームコードはASPackユーティリティで圧縮されており、長さは約34Kです。 ワームは、起動時に、XANAX.EXEとXANSTART.EXEの2つの名前でWindowsシステムディレクトリに自身をコピーします。レジストリの自動実行キーにXANSTART.EXEファイルが登録されます。
%winsystem%はWindowsシステムディレクトリの名前です。その結果、Windowsが起動するたびにワームが実行されます。 感染した電子メールその後、ワームは電子メールの配布ルーチンを起動します。これを行うために、ワームは一時的なXANAX.VBSファイル(Visual Basicスクリプト)を作成し、そこでVBSプログラムを作成し、WSCRIPT.EXEの助けを借りて起動します。 VBSプログラムはOutlookアドレス帳にアクセスし、各アドレス一覧から最初の1,000のアドレスにメッセージを送信します
EXEファイルへの感染その後、ワームは、Windowsディレクトリ内のEXEファイルを検索し、感染させます。感染すると、ワームは被害者のファイル本体を移動し、ファイルの先頭に自身を書き込みます。このワームは、E、P、R、S、T、Wで始まる名前のファイルには感染しません。 IRCチャンネル次に、mIRCクライアントがインストールされていれば、mIRCクライアントに感染します。ワームは、以下のディレクトリにあるmIRCクライアントを探します。
C :, D :, E:およびF:ドライブ上に表示されます。 mIRCクライアントが存在する場合、ワームはSCRIPT.INI mIRCスクリプトファイルを、感染したチャネルに参加するすべての人にワームのコピーを送信するプログラムで上書きします。 他のコメントワームが、ファイル名(xxxRx.EXE)の最後の文字の次に「R」という文字が付いたファイルから実行されると、次のメッセージが表示されます。
正確な名前には、システムレジストリの自動実行キーに登録されているワームのファイルXANSTART.EXEが含まれています。したがって、このワームは各Windows起動時にこのメッセージを表示します。 ワームは、システム内にさらに多くのファイルを作成します。
HOSTFILE.EXEは、感染したホストファイルを実行した後も残ります。このファイルには、最後に感染したファイルが感染した純粋な(感染していない)本体が含まれています。 XANAX.SYSファイルには次のテキストが含まれています。
WINSTART.BATファイルには、メッセージを表示するコマンドが含まれています。
|
オリジナルへのリンク |
|
| お住まいの地域に広がる脅威の統計をご覧ください |
