親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Net-Worm
ネットワームはコンピュータネットワークを介して伝播します。この種のワームの特徴は、普及するためにユーザーの操作を必要としないことです。この種のワームは、通常、ネットワーク上のコンピュータ上で動作するソフトウェアの重大な脆弱性を検索します。ネットワーク上のコンピュータを感染させるために、ワームは特別に細工されたネットワークパケット(悪用と呼ばれます)を送信し、その結果ワームコード(またはワームコードの一部)が被害者のコンピュータに侵入して起動します。ネットワークパケットには、メインワームモジュールを含むファイルをダウンロードして実行するワームコードの部分しか含まれていないことがあります。一部のネットワークワームは、複数の攻撃を同時に使用して感染するため、犠牲者を見つける速度が向上します。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
このファイルレスワームは、BlackIceおよびBlackwormとも呼ばれ、以下の脆弱なISS製品を使用するコンピュータに感染します。
RealSecure Network 7.0、XPU 22.11以前 RealSecure Server Sensor 7.0 XPU 22.11以前 RealSecure Server Sensor 6.5 for Windows SR 3.10およびそれ以前 Proventia AシリーズXPU 22.11以前 Proventia GシリーズXPU 22.11以前 Proventia MシリーズXPU 1.9以前 RealSecure Desktop 7.0 eB以前 RealSecure Desktop 3.6 ecfおよびそれ以前 RealSecure Guard 3.6 ecfおよびそれ以前 RealSecure Sentry 3.6 ecfおよびそれ以前 Blackfin Agent for Server 3.6 ecfおよびそれ以前 BlackICE PC Protection 3.6 ccfおよびそれ以前 BlackICE Server Protection 3.6 ccfおよびそれ以前
コンピュータからコンピュータにコードを送信し、ISS製品のプログラミングの欠陥を利用してコードを起動します。
ワームは非常に小さく、サイズは768バイトから1148バイトまでです(後者は今まで検出された最大の標本です)。ワームのサイズは、指定された値よりも小さくなることがあります。
ワームはメモリ内にのみ存在し、自身をディスクにコピーしません。 ISS製品の脆弱なライブラリiss-pam1.dllの一部を独自のデータで上書きしようとします。
ワームは、感染したコンピュータで起動されると、ランダムなIPアドレスを生成し、上記の脆弱性の悪用と一緒に自身のコードをこのアドレスに送信します。ソースポートとしてUPD 4000を使用します。
このようなデータパケットを受信すると、脆弱なISS製品がインストールされているリモートコンピュータは、それを着信ICQパケットとして処理し、それに応じて処理しようとします。
このエラーの結果、ワームの実行可能コードは被害者のコンピュータのメモリに侵入し、自身のコピーを送信し始めます。
ランダムに選択されたIPアドレスからデータパケットが送信されると、ワームはアドレスを選択してデータを2万回送信する処理を繰り返します。その後、iss-pam1.dllから感染したコンピュータのランダムに選択されたディスクセクタに最初の65KBのデータを書き込もうとします。
上記の操作が完了すると、サイクル全体が繰り返されます。
下記のテキストは、ワームのコードで見ることができます:
(^。^)ここに気の利いたメッセージを挿入してください。 (^。^) 32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP
攻撃の実装
ワームは、攻撃を行うために、ISS製品のプログラミングにおけるエラーの1つを使用します。説明はベンダーのサイトで見つけることができます
Wittyは2004年3月に最初に確認されたISS製品のICQ解析の脆弱性を悪用しています 。
この欠陥のパッチはISSサイトからダウンロードできます
特に、Wittyが伝播するために使用する方法は、2003年1月に使用された別のファイルレスワームSlammerとほぼ同じです。
ワームは、システムに脆弱なISS製品がインストールされていないユーザーには脅威を与えません。
ワームはディスク上に自身のコピーを作成せず、RAMにのみ常駐します。感染したシステムがリブートされると、ワームは動作を停止します。
カスペルスキーのインターネット攻撃の分析では、2004年3月22日時点で、ワームが最初に登場してから48時間後に、現在活動しているすべてのインターネットワーム(電子メールワームを除く)で13位にランクされ、0.32%と評価されています。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com