本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

P2P-Worm.Win32.Gotorm

クラス P2P-Worm
プラットフォーム Win32
説明

技術的な詳細

これはワームウイルスです。それはピアツーピアネットワークのKazaaを介して広がります。さらに、いくつかのスパイ機能を実行し、影響を受けるPCにインストールされている特定のゲームのデータを収集します。このワームはWindowsアプリケーション(PE EXEファイル)です。これはVisual Cで書かれており、そのサイズは196 608バイトです。

インストール

インストール中に、ワームは、アーカイブ抽出に関する次の偽のエラーメッセージを生成します。

WinZip Self-Extractor、WinZip Self-Extractorヘッダーが破損しています。考えられる原因:不良ディスクまたはファイル転送エラー。

その後、次の名前のWindowsディレクトリに自身を書き込みます。

mrowyekdc.exe

このワームのインストールは、システムレジストリ内の自動実行キーに登録されます。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
  SVCHOST =%WindowsDir%mrowyekdc.exe 

広がる

ワームは、Windowsディレクトリに「User Files」という名前のフォルダを作成し、以下の名前で自身を書き込みます。

スタークラフト+ Broodwar 1.10 map hack.exe
Starcraft + Broodwar 1.10 no-cd hack.exe
Diablo 2 map hack.exe
Diablo 2 no-cd hack.exe
JamellaのDiablo 2 hero editor.exe
ウォークラフト3マップhack.exe
Warcraft 3 stat hack.exe
Warcraft 3 no-cd hack.exe
Warcraft 3 Frozen Throneマップhack.exe
Warcraft 3 Frozen Throne cd-cd hack.exe
Frozen Throneマップhack.exe
Counterstrike hacks.exe
カウンターストライクaim hack.exe

このフォルダは、ファイル交換ネットワークKazaaのローカルコンテンツとしてWindowsシステムレジストリに記録されます。

 HKCUSoftwareKazaaLocalContent
  dir0 = 012345:%Windir%ユーザーファイル
  DisableSharing = "0 

その結果、このフォルダに含まれるファイルは、P2Pネットワークの他のユーザにダウンロードできるようになります。

スパイ関数

ワームは、一般的なコンピュータゲーム(Counter Strike、Diablo、Warcraft、Starcraft)に関連するキーをシステムレジストリでチェックし、SMTPサーバー接続を使用して収集したデータをワームの「所有者」に送信します。

ワームは、システムの日付と時刻をチェックします。ワームの有効化の月が8月より早ければ、機能の実行が中止され、システムレジストリ内のすべてのエントリが削除されます。


オリジナルへのリンク