Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これはインターネットインフォメーションサーバ（ISS）に感染させてWebサイトを標的とするインターネットワームです。このワームは、EXEファイルを送信して実行することにより、あるWebサイトから別のWebサイトに広がるこの方法を実行します。

ワームのファイル名は一貫しています – SVCHOST.EXEとHTTPEXT.DLL。 EXEファイルは、長さが約29KのWin32アプリケーション（PE EXEファイル）で、Microsoft C ++で書かれています。圧縮された変種も発見されました。サイズは約14Kです。 DLLファイルのサイズは約47Kで、Microsoft C ++で書かれています。

ワームは標準のWin32 EXEファイル名を使用しています。 SVCHOST.EXEとHTTPEXT.DLLは、標準のWin2000インストールのSYSTEM32サブフォルダにあります。

ワームは、IISパッケージおよびWebサイトのコンテンツとともにインストールされたマシンのみを感染させます。ワームアプリケーションは、そのようなマシン上で実行されると、リモートWebサイト（インストールされたIISパッケージを備えたリモートマシン）を見つけて感染させます：Webディレクトリトラバーサルエクスプロイトを使用してそこにコピーを送り、そのコピーを生成します。その結果、現在感染しているマシンからアクセス可能なvlunerableなすべてのWebサーバーに感染し、他の感染したサーバーがワームのコピーをさらに拡散します。

ワームは、グローバル時間である午前10時から午前11時まで、http://www.nsfocus.com Webサーバー上でDoS攻撃（DoS攻撃）を実行するペイロードルーチンを持っています。

インストール

ワームは、C：ドライブ – C：SVCHOST.EXEとC：HTTPEXT.DLLのルートにそのコピー（EXEとDLL）を作成します。このEXEファイルは、レジストリの自動実行キーに登録されます。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
ドメインマネージャ= C：svchost.exe

ワームは、C：D.VBSスクリプトファイルを作成してスワップし、INETINFO.EXEアプリケーションを探し、アクティブであれば終了します。また、VBSスクリプトプログラムは、Indexing Service、Indexing Query、およびプリンタマッピングを検索し、それらを削除します。

その結果、ワームは、他のワームがWebセキュリティ保護を破るためにマシンやハッカーを感染させるために使用できる（または使用された）セキュリティ違反を無効にします。

広がる

さらに広がるために、このワームはランダムに選択されたIPアドレスをスキャンして攻撃する100のスレッドを実行します。

50％の場合、攻撃されたマシンは同じネットワーク上にあり、攻撃されたIPアドレスは "aa.bb。??。??"で、 "aa.bb"は感染したマシンのIPアドレスの一部です。 "??"ランダムです。

他の50％のケースでは、攻撃されたアドレスは非常にランダムです。

ワームは被害者のマシンを攻撃するために、Web Directory Traversalエクスプロイトを3回使用します。

リモートマシン上のIISディレクトリを特定しようとしますが、
感染したコンピュータからウイルスのDLLコンポーネント（HTTPEXT.DLLファイル）をダウンロードする要求をリモートマシンに送信し、
最後の要求は、そのDLLファイルをC：ルートディレクトリにコピーすることです。

ワームはDLLファイルを被害者マシンにアップロードするために、 "tftp"コマンドを使用し、感染した（現在の）マシン上の一時的なTFTPサーバーをアクティブにして、被害者（リモート）マシンから "データ取得"コマンドを処理します。

DLLファイルが犠牲PCにアップロードされると、トリックで起動されます。そのため、ワームのコピーはリモートサーバー上で開始され、EXEコンポーネントが削除されて実行され、その後ウイルス作成プログラムが展開されます。

オリジナルへのリンク

クラス	Net-Worm
プラットフォーム	Win32
説明	技術的な詳細これはインターネットインフォメーションサーバ（ISS）に感染させてWebサイトを標的とするインターネットワームです。このワームは、EXEファイルを送信して実行することにより、あるWebサイトから別のWebサイトに広がるこの方法を実行します。ワームのファイル名は一貫しています – SVCHOST.EXEとHTTPEXT.DLL。 EXEファイルは、長さが約29KのWin32アプリケーション（PE EXEファイル）で、Microsoft C ++で書かれています。圧縮された変種も発見されました。サイズは約14Kです。 DLLファイルのサイズは約47Kで、Microsoft C ++で書かれています。ワームは標準のWin32 EXEファイル名を使用しています。 SVCHOST.EXEとHTTPEXT.DLLは、標準のWin2000インストールのSYSTEM32サブフォルダにあります。ワームは、IISパッケージおよびWebサイトのコンテンツとともにインストールされたマシンのみを感染させます。ワームアプリケーションは、そのようなマシン上で実行されると、リモートWebサイト（インストールされたIISパッケージを備えたリモートマシン）を見つけて感染させます：Webディレクトリトラバーサルエクスプロイトを使用してそこにコピーを送り、そのコピーを生成します。その結果、現在感染しているマシンからアクセス可能なvlunerableなすべてのWebサーバーに感染し、他の感染したサーバーがワームのコピーをさらに拡散します。ワームは、グローバル時間である午前10時から午前11時まで、http://www.nsfocus.com Webサーバー上でDoS攻撃（DoS攻撃）を実行するペイロードルーチンを持っています。インストールワームは、C：ドライブ – C：SVCHOST.EXEとC：HTTPEXT.DLLのルートにそのコピー（EXEとDLL）を作成します。このEXEファイルは、レジストリの自動実行キーに登録されます。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun ドメインマネージャ= C：svchost.exe ワームは、C：D.VBSスクリプトファイルを作成してスワップし、INETINFO.EXEアプリケーションを探し、アクティブであれば終了します。また、VBSスクリプトプログラムは、Indexing Service、Indexing Query、およびプリンタマッピングを検索し、それらを削除します。その結果、ワームは、他のワームがWebセキュリティ保護を破るためにマシンやハッカーを感染させるために使用できる（または使用された）セキュリティ違反を無効にします。広がるさらに広がるために、このワームはランダムに選択されたIPアドレスをスキャンして攻撃する100のスレッドを実行します。 50％の場合、攻撃されたマシンは同じネットワーク上にあり、攻撃されたIPアドレスは "aa.bb。??。??"で、 "aa.bb"は感染したマシンのIPアドレスの一部です。 "??"ランダムです。他の50％のケースでは、攻撃されたアドレスは非常にランダムです。ワームは被害者のマシンを攻撃するために、Web Directory Traversalエクスプロイトを3回使用します。リモートマシン上のIISディレクトリを特定しようとしますが、感染したコンピュータからウイルスのDLLコンポーネント（HTTPEXT.DLLファイル）をダウンロードする要求をリモートマシンに送信し、最後の要求は、そのDLLファイルをC：ルートディレクトリにコピーすることです。ワームはDLLファイルを被害者マシンにアップロードするために、 "tftp"コマンドを使用し、感染した（現在の）マシン上の一時的なTFTPサーバーをアクティブにして、被害者（リモート）マシンから "データ取得"コマンドを処理します。 DLLファイルが犠牲PCにアップロードされると、トリックで起動されます。そのため、ワームのコピーはリモートサーバー上で開始され、EXEコンポーネントが削除されて実行され、その後ウイルス作成プログラムが展開されます。
	オリジナルへのリンク

Net-Worm.Win32.BlueCode

技術的な詳細