親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Virus
ウィルスは、ローカルマシンのリソース上で複製します。ワームとは異なり、ウイルスはネットワークサービスを使用して他のコンピュータに伝播したり侵入したりしません。感染したオブジェクトが何らかの理由でウイルス機能に関係なく他のコンピュータで有効になっている場合にのみ、ウイルスのコピーがリモートコンピュータに届きます。たとえば、アクセス可能なディスクに感染すると、ウイルスはネットワークリソースにあるファイルに侵入し、ウイルスは自身をリムーバブルストレージデバイスにコピーしたり、リムーバブルデバイス上のファイルに感染させたりします。ユーザーは感染した添付ファイル付きの電子メールを送信します。プラットフォーム: MSOffice
Microsoft Officeは、マイクロソフトが発行する生産性アプリケーションのマルチプラットフォームスイートです。 Officeアプリケーションは、多くの種類のファイルとコンテンツと互換性があります。説明
技術的な詳細
これはMS Office97 / 2000マクロウイルスです。 2つのOfficeアプリケーション(WordとExcel)を対象とし、Word文書とExcelシートに感染します。このウイルスは、MS Outlook 98/2000を使用してインターネット経由で電子メールメッセージにも広がります。
そのため、感染した電子メールメッセージを作成することによって、感染したWord文書、Excelシート、およびメール自体にウイルスが広がります。
ウイルスには危険なペイロードルーチンがあり、これは8月17日と12月25日に発生します(下記参照)。
ウイルスには「著作権」テキストが含まれています:
W97M / CyberNET(C)2000 - インドネシアBy AnomOke!
私は、私のウイルスによってその偽の原因となるいかなる損害についても責任を負いません... !!!
WordとExcelでの広がり
Word文書とExcelシートのウイルスコードは同じマクロセットで、そのうちの1つはWord(Document_Open)の自動マクロであり、他の2つはExcelの自動マクロ(Wordbook_Open、Workbook_Deactivate)であり、他のマクロ共通のウイルスコードが含まれています。
ウイルスの自動マクロは、ドキュメントを開く(Document_Open)か別のExcelブック(Workbook_Deactivate)を選択すると自動的にアクティブになります。
ウイルスがアクティブになると、WordおよびExcelでマクロウイルス保護が無効になります。その後、このウイルスは電子メールの拡散ルーチンを呼び出し、MS Officeファイルの感染とペイロードルーチンを呼び出します。
Word文書を感染させるために、ウイルスは自身をNORMALテンプレート(NORMAL.DOT)にコピーし、開いて閉じた文書に感染させます。 Excelファイルに感染するために、ウイルスはそのコードを開いたブックにコピーします。
Word文書からExcelを感染させるために、ウイルスはCYBERNET.XLS名を持つ感染したブックをExcelスタートアップディレクトリに作成します。 ExcelからWordに移行するために、ウイルスはNORMAL.DOTテンプレートに感染します。
その後、ウイルスはすべての ".XL?"を削除します。 .DOだけでなく、Excelのスタートアップディレクトリ内のファイル? Wordスタートアップディレクトリ内のファイル。
電子メール配信ルーチン
このウイルスは、インターネット上でそのコピーを広めるために、MS Outlookを開き、アドレス帳にアクセスし、そこからすべてのアドレスを取得し、添付ファイル付きのメッセージを各アドレスリストの最初の50人の受信者に送信します( "Melissa"ウイルス)。
このウイルスは感染したMS Word文書またはMS Excelブックを添付して感染した電子メールを送信します。メッセージには次のものがあります。
件名:あなたはGOTメールを持っています!
本文:読んだ後に文書を保存し、誰にも公開しないでください
else。この文書はウイルスフリーでもありますので、ウイルスを捨ててください
保護警告!
添付ファイル名は、ウイルス名に関係なくアクティブな文書を添付するため、異なる場合があります。その後、同じコンピュータから重複したメッセージが送信されないように、システムレジストリにマークが作成されます。
ペイロード
感染したアプリケーションに応じて、ルーチンはさまざまな視覚効果を生成します。
MS Wordの場合:アクティブな文書で、ランダムな色、サイズ、位置で最大70の異なる図形を作成します。
MS Excelの場合:アクティブなワークブックには、サイズとテキストが異なる30個のコメント(セルに対するツールチップのように見える)が作成されます。それぞれに "(C)2000 - CyberNET From Indonesia"が表示されます。
この後、ペイロードルーチンは "AUTOEXEC.BAT"と "CONFIG.SYS"ファイルを上書きします。 "AUTOEXEC.BAT"ファイルでは、コンピュータの起動中に画面にメッセージを表示し、ディスク "C:"上のすべてのデータを削除するコマンドを書き込みます。 "CONFIG.SYS"ファイルでは、 "Ctrl-C"キーストロークを無効にするコマンドを書き込みます。
その後、ウイルスはコンピュータを再起動します。
起動時にウイルスによって表示されるメッセージは次のとおりです。
#################################### ##################### ## #Vine ... Vide ... Vice ... Moslem Power Never End ...# #私は本当に申し訳ありませんが、このシステムはリサイクルされています - = CyberNET = - ウイルス!!! # #インドネシアからあなたにもたらした...# ## #################################### #####################
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com