本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Worm Win32

Worm.Win32.Shorm

クラス
Worm
プラットフォーム
Win32

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Worm

ワームは、ネットワークリソースを介してコンピュータネットワーク上に広まります。 Net-Wormとは異なり、ユーザーはワームを起動して起動する必要があります。この種のワームは、リモートのコンピュータネットワークを検索し、読み書き可能なディレクトリに自身をコピーします(見つかった場合)。さらに、これらのワームは、内蔵のオペレーティングシステム機能を使用して、アクセス可能なネットワークディレクトリを検索したり、インターネット上のコンピュータをランダムに検索したり、それらに接続したり、これらのコンピュータのディスクに完全にアクセスしようとします。また、このカテゴリには、1つまたは複数の理由で、上記で定義した他のカテゴリ(モバイルデバイス用のワームなど)に適合しないワームも含まれます。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これは、ローカルおよびグローバルネットワーク上に広がるネットワークワームです。広がるために、ワームはリモートコンピュータに接続し、フルアクセスのためにディスクが共有されている場合、ワームはWindows起動ディレクトリに自身をコピーします(存在する場合)。

ワームはまた、パスワードを盗む能力を持っています。 RAS情報(ユーザーの名前、電話番号、パスワード)とキャッシュされたパスワードを取得し、krenx@mail.ruとwinam@mail.ruのアドレスの2つの電子メールに送信します。

ワーム自体は、Delphiで書かれ、ASpach PE EXE圧縮ユーティリティで圧縮されたWin32アプリケーション(PE EXEファイル)です。ワーム本体には以下のテキストが含まれています:

SharedWorm v1.2

ワームが実行されると、MSTASK.EXE、MSGSRV16.EXE、TAPI32.EXEの3つの名前を使用してWindowsシステムディレクトリに自身をコピーし、これらのファイルを次のレジストリ自動実行キーに登録します。

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

したがって、Windowsが再起動されるたびにワームが実行されます。

ワームは、Webページ "http://krenx.newmail.ru/ip.txt"に接続し、その内容を読み取ります。そのページには、サブネットのIPアドレスのリストが含まれています。アドレスには、4つのIPアドレス番号の代わりに3つの番号があります。たとえば、次のようになります。

194.135.175。
213.24.179。
195.209.191。
213.59.57。

ワームは、これらのサブネット「マスク」の1つをランダムに選択し、サブネット内の各マシンに接続しようとします。接続が成功すると、ワームはそのコンピュータのハードドライブのディスクファイルにアクセスしようとし、そのコンピュータ上のWindowsディレクトリの名前を探し、次の名前でそこに自身をコピーします。

Start MenuProgramsStartUpAVPMonitor.exe

ワームのコピーはWindowsの自動スタートディレクトリに置かれ、次のWindowsの再起動時に有効になります。

ワームは、インターネットサイトから自身を更新することもできます。インターネットファイル "http://krenx.newmail.ru/win.exe"を取得し、ローカルマシンにコピーして実行します。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Kaspersky IT Security Calculator
も参照してください
Related articles
08 May 2024
Securelist
State of ransomware in 2024
07 May 2024
Securelist
Exploits and vulnerabilities in Q1 2024
06 May 2024
Securelist
Financial cyberthreats in 2023
03 May 2024
Kaspersky Daily
WhatsAppと他メッセージアプリの相互運用の利点と欠点 | カスペルスキー公式ブログ
02 May 2024
Kaspersky Daily
強力なパスワードを作成する方法と保存場所 | カスペルスキー公式ブログ
30 April 2024
Securelist
Managed Detection and Response in 2023
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
脅威
Confirm changes?
Your message has been sent successfully.