Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

これは、ローカルおよびグローバルネットワーク上に広がるネットワークワームです。広がるために、ワームはリモートコンピュータに接続し、フルアクセスのためにディスクが共有されている場合、ワームはWindows起動ディレクトリに自身をコピーします（存在する場合）。

ワームはまた、パスワードを盗む能力を持っています。 RAS情報（ユーザーの名前、電話番号、パスワード）とキャッシュされたパスワードを取得し、krenx@mail.ruとwinam@mail.ruのアドレスの2つの電子メールに送信します。

ワーム自体は、Delphiで書かれ、ASpach PE EXE圧縮ユーティリティで圧縮されたWin32アプリケーション（PE EXEファイル）です。ワーム本体には以下のテキストが含まれています：

SharedWorm v1.2

ワームが実行されると、MSTASK.EXE、MSGSRV16.EXE、TAPI32.EXEの3つの名前を使用してWindowsシステムディレクトリに自身をコピーし、これらのファイルを次のレジストリ自動実行キーに登録します。

HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun
HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices

したがって、Windowsが再起動されるたびにワームが実行されます。

ワームは、Webページ "http://krenx.newmail.ru/ip.txt"に接続し、その内容を読み取ります。そのページには、サブネットのIPアドレスのリストが含まれています。アドレスには、4つのIPアドレス番号の代わりに3つの番号があります。たとえば、次のようになります。

194.135.175。
213.24.179。
195.209.191。
213.59.57。

ワームは、これらのサブネット「マスク」の1つをランダムに選択し、サブネット内の各マシンに接続しようとします。接続が成功すると、ワームはそのコンピュータのハードドライブのディスクファイルにアクセスしようとし、そのコンピュータ上のWindowsディレクトリの名前を探し、次の名前でそこに自身をコピーします。

Start MenuProgramsStartUpAVPMonitor.exe

ワームのコピーはWindowsの自動スタートディレクトリに置かれ、次のWindowsの再起動時に有効になります。

ワームは、インターネットサイトから自身を更新することもできます。インターネットファイル "http://krenx.newmail.ru/win.exe"を取得し、ローカルマシンにコピーして実行します。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Worm
プラットフォーム	Win32
説明	技術的な詳細これは、ローカルおよびグローバルネットワーク上に広がるネットワークワームです。広がるために、ワームはリモートコンピュータに接続し、フルアクセスのためにディスクが共有されている場合、ワームはWindows起動ディレクトリに自身をコピーします（存在する場合）。ワームはまた、パスワードを盗む能力を持っています。 RAS情報（ユーザーの名前、電話番号、パスワード）とキャッシュされたパスワードを取得し、krenx@mail.ruとwinam@mail.ruのアドレスの2つの電子メールに送信します。ワーム自体は、Delphiで書かれ、ASpach PE EXE圧縮ユーティリティで圧縮されたWin32アプリケーション（PE EXEファイル）です。ワーム本体には以下のテキストが含まれています： SharedWorm v1.2 ワームが実行されると、MSTASK.EXE、MSGSRV16.EXE、TAPI32.EXEの3つの名前を使用してWindowsシステムディレクトリに自身をコピーし、これらのファイルを次のレジストリ自動実行キーに登録します。 HKCU SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRun HKLM SOFTWAREMicrosoftWindowsCurrentVersionRunServices したがって、Windowsが再起動されるたびにワームが実行されます。ワームは、Webページ "http://krenx.newmail.ru/ip.txt"に接続し、その内容を読み取ります。そのページには、サブネットのIPアドレスのリストが含まれています。アドレスには、4つのIPアドレス番号の代わりに3つの番号があります。たとえば、次のようになります。 194.135.175。 213.24.179。 195.209.191。 213.59.57。ワームは、これらのサブネット「マスク」の1つをランダムに選択し、サブネット内の各マシンに接続しようとします。接続が成功すると、ワームはそのコンピュータのハードドライブのディスクファイルにアクセスしようとし、そのコンピュータ上のWindowsディレクトリの名前を探し、次の名前でそこに自身をコピーします。 Start MenuProgramsStartUpAVPMonitor.exe ワームのコピーはWindowsの自動スタートディレクトリに置かれ、次のWindowsの再起動時に有効になります。ワームは、インターネットサイトから自身を更新することもできます。インターネットファイル "http://krenx.newmail.ru/win.exe"を取得し、ローカルマシンにコピーして実行します。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Worm.Win32.Shorm

技術的な詳細