親クラス: VirWare
ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。クラス: Worm
ワームは、ネットワークリソースを介してコンピュータネットワーク上に広まります。 Net-Wormとは異なり、ユーザーはワームを起動して起動する必要があります。この種のワームは、リモートのコンピュータネットワークを検索し、読み書き可能なディレクトリに自身をコピーします(見つかった場合)。さらに、これらのワームは、内蔵のオペレーティングシステム機能を使用して、アクセス可能なネットワークディレクトリを検索したり、インターネット上のコンピュータをランダムに検索したり、それらに接続したり、これらのコンピュータのディスクに完全にアクセスしようとします。また、このカテゴリには、1つまたは複数の理由で、上記で定義した他のカテゴリ(モバイルデバイス用のワームなど)に適合しないワームも含まれます。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
ワームは.dllファイルをアクティブなすべてのプロセスにロードします。
ワームはまた、下記のいずれかのプロセスが起動された場合、マウスイベントとキーボードイベントを傍受します。
maplestory.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
dekaron.exe
gc.exe
RagFree.exe
Ragexe.exe
ybclient.exe
wsm.exe
sro_client.exe
so3d.exe
ge.exe
elementclient.exe
ワームは以下のゲームに関するアカウントデータを収集します:
ZhengTu
Wanmi ShijieまたはPerfect World
デカロンSiwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
シールオンライン
メイプルストーリー
R2(革命の統治)
テイルズウィーバー
Wanmi ShijieまたはPerfect World
デカロンSiwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
シールオンライン
メイプルストーリー
R2(革命の統治)
テイルズウィーバー
収穫されたデータは、リモートの悪意のあるユーザーのサイトに送信されます。
ワームは、以下のシステムレジストリキーのパラメータ値も変更します。
[HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol
derHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"非表示" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"
たとえば、Worm.Win32.AutoRun.beot: derHiddenSHOWALL]
"CheckedValue" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"非表示" = "2"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = "0"
[HKCUSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer]
"NoDriveTypeAutoRun" = "0x91"
ワームは自身をローカルディスクとアクセス可能なネットワークリソースにコピーします。 Windows(PE-EXEファイル)です。サイズは47733バイトです。それはFSGによって詰め込まれています。解凍されたファイルサイズは約160 KBです。これはDelphiで書かれています。
インストール
ワームは、起動されると、その本体をユーザのコンピュータのシステムディスクにコピーします。
作成されたコピーが、システムが再起動するたびに自動的に起動されるようにするには、次のレジストリキーが作成されます。
[HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
伝搬
ワームは、感染したコンピュータに接続されているすべての書き込み可能なリムーバブルディスクにその本文をコピーします。ファイル "AutoRun.inf"は、感染ディスクのルートにコピーと共に作成されます。これは、ユーザーが感染したリムーバブルディスクを "エクスプローラ"を使用して開くたびに実行されるコピーを提供します。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!