本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Worm.Win32.Shorm

クラス Worm
プラットフォーム Win32
説明

技術的な詳細

これは、ローカルおよびグローバルネットワーク上に広がるネットワークワームです。広がるために、ワームはリモートコンピュータに接続し、フルアクセスのためにディスクが共有されている場合、ワームはWindows起動ディレクトリに自身をコピーします(存在する場合)。

ワームはまた、パスワードを盗む能力を持っています。 RAS情報(ユーザーの名前、電話番号、パスワード)とキャッシュされたパスワードを取得し、krenx@mail.ruとwinam@mail.ruのアドレスの2つの電子メールに送信します。

ワーム自体は、Delphiで書かれ、ASpach PE EXE圧縮ユーティリティで圧縮されたWin32アプリケーション(PE EXEファイル)です。ワーム本体には以下のテキストが含まれています:

SharedWorm v1.2

ワームが実行されると、MSTASK.EXE、MSGSRV16.EXE、TAPI32.EXEの3つの名前を使用してWindowsシステムディレクトリに自身をコピーし、これらのファイルを次のレジストリ自動実行キーに登録します。

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

したがって、Windowsが再起動されるたびにワームが実行されます。

ワームは、Webページ "http://krenx.newmail.ru/ip.txt"に接続し、その内容を読み取ります。そのページには、サブネットのIPアドレスのリストが含まれています。アドレスには、4つのIPアドレス番号の代わりに3つの番号があります。たとえば、次のようになります。

194.135.175。
213.24.179。
195.209.191。
213.59.57。

ワームは、これらのサブネット「マスク」の1つをランダムに選択し、サブネット内の各マシンに接続しようとします。接続が成功すると、ワームはそのコンピュータのハードドライブのディスクファイルにアクセスしようとし、そのコンピュータ上のWindowsディレクトリの名前を探し、次の名前でそこに自身をコピーします。

Start MenuProgramsStartUpAVPMonitor.exe

ワームのコピーはWindowsの自動スタートディレクトリに置かれ、次のWindowsの再起動時に有効になります。

ワームは、インターネットサイトから自身を更新することもできます。インターネットファイル "http://krenx.newmail.ru/win.exe"を取得し、ローカルマシンにコピーして実行します。


オリジナルへのリンク