本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス
Net-Worm
プラットフォーム
Win32

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Net-Worm

ネットワームはコンピュータネットワークを介して伝播します。この種のワームの特徴は、普及するためにユーザーの操作を必要としないことです。この種のワームは、通常、ネットワーク上のコンピュータ上で動作するソフトウェアの重大な脆弱性を検索します。ネットワーク上のコンピュータを感染させるために、ワームは特別に細工されたネットワークパケット(悪用と呼ばれます)を送信し、その結果ワームコード(またはワームコードの一部)が被害者のコンピュータに侵入して起動します。ネットワークパケットには、メインワームモジュールを含むファイルをダウンロードして実行するワームコードの部分しか含まれていないことがあります。一部のネットワークワームは、複数の攻撃を同時に使用して感染するため、犠牲者を見つける速度が向上します。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

このファイルレスワームは、BlackIceおよびBlackwormとも呼ばれ、以下の脆弱なISS製品を使用するコンピュータに感染します。

 RealSecure Network 7.0、XPU 22.11以前 RealSecure Server Sensor 7.0 XPU 22.11以前  RealSecure Server Sensor 6.5 for Windows SR 3.10およびそれ以前  Proventia AシリーズXPU 22.11以前 Proventia GシリーズXPU 22.11以前 Proventia MシリーズXPU 1.9以前 RealSecure Desktop 7.0 eB以前 RealSecure Desktop 3.6 ecfおよびそれ以前 RealSecure Guard 3.6 ecfおよびそれ以前  RealSecure Sentry 3.6 ecfおよびそれ以前  Blackfin Agent for Server 3.6 ecfおよびそれ以前 BlackICE PC Protection 3.6 ccfおよびそれ以前 BlackICE Server Protection 3.6 ccfおよびそれ以前

コンピュータからコンピュータにコードを送信し、ISS製品のプログラミングの欠陥を利用してコードを起動します。

ワームは非常に小さく、サイズは768バイトから1148バイトまでです(後者は今まで検出された最大の標本です)。ワームのサイズは、指定された値よりも小さくなることがあります。

ワームはメモリ内にのみ存在し、自身をディスクにコピーしません。 ISS製品の脆弱なライブラリiss-pam1.dllの一部を独自のデータで上書きしようとします。

ワームは、感染したコンピュータで起動されると、ランダムなIPアドレスを生成し、上記の脆弱性の悪用と一緒に自身のコードをこのアドレスに送信します。ソースポートとしてUPD 4000を使用します。

このようなデータパケットを受信すると、脆弱なISS製品がインストールされているリモートコンピュータは、それを着信ICQパケットとして処理し、それに応じて処理しようとします。

このエラーの結果、ワームの実行可能コードは被害者のコンピュータのメモリに侵入し、自身のコピーを送信し始めます。

ランダムに選択されたIPアドレスからデータパケットが送信されると、ワームはアドレスを選択してデータを2万回送信する処理を繰り返します。その後、iss-pam1.dllから感染したコンピュータのランダムに選択されたディスクセクタに最初の65KBのデータを書き込もうとします。

上記の操作が完了すると、サイクル全体が繰り返されます。

下記のテキストは、ワームのコードで見ることができます:

 (^。^)ここに気の利いたメッセージを挿入してください。 (^。^)  32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP 

攻撃の実装

ワームは、攻撃を行うために、ISS製品のプログラミングにおけるエラーの1つを使用します。説明はベンダーのサイトで見つけることができます

Wittyは2004年3月に最初に確認されたISS製品のICQ解析脆弱性を悪用しています

この欠陥のパッチはISSサイトからダウンロードできます

特に、Wittyが伝播するために使用する方法は、2003年1月に使用された別のファイルレスワームSlammerとほぼ同じです。

ワームは、システムに脆弱なISS製品がインストールされていないユーザーには脅威を与えません。

ワームはディスク上に自身のコピーを作成せず、RAMにのみ常駐します。感染したシステムがリブートされると、ワームは動作を停止します。

カスペルスキーのインターネット攻撃の分析では、2004年3月22日時点で、ワームが最初に登場してから48時間後に、現在活動しているすべてのインターネットワーム(電子メールワームを除く)で13位にランクされ、0.32%と評価されています。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Confirm changes?
Your message has been sent successfully.