親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Net-Worm
ネットワームはコンピュータネットワークを介して伝播します。この種のワームの特徴は、普及するためにユーザーの操作を必要としないことです。この種のワームは、通常、ネットワーク上のコンピュータ上で動作するソフトウェアの重大な脆弱性を検索します。ネットワーク上のコンピュータを感染させるために、ワームは特別に細工されたネットワークパケット(悪用と呼ばれます)を送信し、その結果ワームコード(またはワームコードの一部)が被害者のコンピュータに侵入して起動します。ネットワークパケットには、メインワームモジュールを含むファイルをダウンロードして実行するワームコードの部分しか含まれていないことがあります。一部のネットワークワームは、複数の攻撃を同時に使用して感染するため、犠牲者を見つける速度が向上します。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これは、感染した電子メールに添付されたインターネット経由で拡散し、ローカルネットワーク上の共有ディレクトリに自身をコピーし、脆弱なIISマシン(Webサイト)を攻撃するウイルスワームです。ワーム自体は約57Kbの長さのWindows PE EXEファイルで、Microsoft C ++で書かれています。
ワームは、感染したメッセージから実行するために、セキュリティ違反を悪用します。その後、ワームはシステムに自身をインストールし、拡散ルーチンとペイロードを実行します。
ワームは以下の "著作権"テキスト文字列を含んでいます:
Concept Virus(CV)V.5、Copyright(C)2001 RPChina
インストール
インストール中、ワームは自身をコピーします:
MMC.EXE名でWindowsディレクトリに移動します。
RICHED20.DLL(および元のWindows RICHED20.DLLファイルを上書き)およびLOAD.EXE名でWindowsシステムディレクトリに移動します。
最後のものは、SYSTEM.INIファイルの自動実行セクションに登録されます。
[boot] shell = explorer.exe load.exe -dontrunold
ワームはまた、MEP * .TMPとMA * .TMP.EXEのランダムな名前を使用してTemporaryディレクトリに自身をコピーします。
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
EXEファイルには、隠し属性とシステム属性、LOAD.EXEファイル(上記参照)があります。
その後、ワームは拡散とペイロードのルーチンを実行します。ワームはWindowsのバージョンによって、EXLORER.EXEプロセスに影響を与え、EXPLORERのバックグラウンドプロセス(スレッド)としてそのルーチンを実行する可能性があります。
電子メールによる広がり
ワームは、感染したメッセージを送信するために、SMTPプロトコルを使用してホストマシンに接続し、そのコピーを被害者アドレスに送信します。
犠牲者の電子メールアドレスを取得するために、このワームは2つの方法を使用します。
* .HTMと* .HTMLファイルをスキャンし、電子メールのような文字列を探します。
2. MAPIを使用して、MS Exchangeの電子メールボックスに接続し、そこから電子メールアドレスを取得します。
感染したメッセージはHTML形式であり、以下を含みます。
件名:空またはランダムサブジェクトは、フォルダからランダムに選択されたファイルの名前から選択されます。
ボディ:空
添付:README.EXE
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal
通常これは「マイドキュメント」またはC:ドライブ上のランダムに選択されたファイルです。
感染したメッセージから広がるために、このワームは "IFRAME"トリックを使用します。この脆弱性は、
マイクロソフトセキュリティ情報(MS01-020):不正なMIMEヘッダーにより、IEが電子メール添付ファイルを実行する可能性があります。http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ダウンロードパッチ:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
何が原因で起こりますか?
HTMLメールにMIMEタイプがいくつかの異常なタイプの1つとして間違って与えられている実行可能な添付ファイルが含まれていると、IEの欠陥により警告ダイアログを表示せずに添付ファイルが実行されます。
パッチは何をしますか?
この更新プログラムは、IEのMIMEタイプと関連するアクションの表を修正することにより、この脆弱性を排除します。これは、電子メールが実行可能な添付ファイルを自動的に起動できないようにする効果があります。
ローカルネットワークを介した広がり
ワームは、ローカルと共有(マップされた)リモートドライブを3つの異なる方法でスキャンし、そこにあるすべてのアクセス可能なディレクトリに感染します。
感染中、このワームは2つの異なる方法を使用します。
1.ランダムに選択された名前の.EMLファイル(95%の時間)または.NWS(5%)ファイルを作成します。その結果、これらのEMLファイルとNWSファイルは、感染したマシン(およびローカルネットワーク)のどこにでもあり、数千ものファイルが存在する可能性があります。これらのファイルには、電子メール形式のワームのコピーが含まれています。
電子メールフォームは、上記のように、MIMEエンベロープ内にワームのコピーがあり、IFRAMEトリックを持つHTML電子メールメッセージです。このメッセージが表示されると、すぐに脆弱なマシンに感染します。
2.このワームはファイル名と拡張子の組み合わせを探します:
* DEFAULT *、* INDEX *、* MAIN *、* README * + .HTML、.HTM、.ASP
(* NAME *は、ファイル名のサブストリングである可能性があることを意味します)
このようなファイルが見つかった場合、ワームはREADME.EMLという名前で電子メールフォームに自身をコピーし、犠牲者のHTM / ASPファイルにHTML / ASPファイルを開くだけのREADME.EMLファイルを開くJavaScriptプログラムを追加しますファイルが開かれており、その結果としてワームが起動します。
その結果、ワームはWebページに感染し、これらのWebサイトにアクセスするマシンに感染する可能性があります。
IIS攻撃として広がる
ワームは、そのファイルを被害者のマシンにアップロードするために、「tftp」コマンドを使用し、感染した(現在の)マシン上の一時的なTFTPサーバをアクティブにして、被害者(リモート)マシンから「get data」コマンドをまったく同じ{"BlueCode":IISWorm_BlueCode} IISワームのように。
犠牲者のマシンにアップロードされるファイルの名前はADMIN.DLLです。
ペイロード
ペイロードルーチンは、管理者ユーザーグループに「ゲスト」ユーザーを追加します(結果として、「ゲスト」ユーザーは感染したマシンにフルアクセスします)。
ワームは共有するためにすべてのローカルドライブも開きます。
"Nimda"ワームにはいくつかの亜種があります。
それらはすべてオリジナルに非常に似ていますが、そのほとんどは元のワームの "パッチ適用"バージョンです - ワーム本体のテキスト文字列は他の文字列に置き換えられます)。
Nimda.b
これはオリジナルの "Nimda"ワームですが、PCShrink Win32 PE EXEファイル圧縮プログラムで圧縮されています。文字列:
次のものに置き換えられます。
Nimda.c
これはまさにオリジナルの "Nimda"ワームですが、UPX圧縮プログラムで圧縮されています。
Nimda.d
この亜種は、2001年10月末にインターネットに郵送されました。圧縮形式(PECompact圧縮形式)で配布され、この形式は27Kサイズです。
元のワームとの唯一の違いは、このバージョンで次のテキストでパッチされている "著作権"テキスト文字列です。
ホロカストウイルス! Stephan Fernandez.SpainによるV.5.2
Nimda.e
これは再コンパイルされた "Nimda"変種であり、いくつかのマイナールーチンがわずかに固定されているか最適化されています。この変種は2001年10月の終わりに野生で見つかった。
オリジナルのワームバージョンとの目に見える違いは次のとおりです。
添付ファイル名:
SAMPLE.EXE(README.EXEの代わりに)
DLLファイルは次のとおりです。
HTTPODBC.DLLとCOOL.DLL(ADMIN.DLLではなく)
「著作権」テキストは次のものに置き換えられます。
コンセプトウイルス(CV)V.6、Copyright(C)2001、(This CV、No Nimda。)
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com