本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
クラス
Net-Worm
プラットフォーム
Win32

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Net-Worm

ネットワームはコンピュータネットワークを介して伝播します。この種のワームの特徴は、普及するためにユーザーの操作を必要としないことです。この種のワームは、通常、ネットワーク上のコンピュータ上で動作するソフトウェアの重大な脆弱性を検索します。ネットワーク上のコンピュータを感染させるために、ワームは特別に細工されたネットワークパケット(悪用と呼ばれます)を送信し、その結果ワームコード(またはワームコードの一部)が被害者のコンピュータに侵入して起動します。ネットワークパケットには、メインワームモジュールを含むファイルをダウンロードして実行するワームコードの部分しか含まれていないことがあります。一部のネットワークワームは、複数の攻撃を同時に使用して感染するため、犠牲者を見つける速度が向上します。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散し、ローカルネットワーク上の共有ディレクトリに自身をコピーし、脆弱なIISマシン(Webサイト)を攻撃するウイルスワームです。ワーム自体は約57Kbの長さのWindows PE EXEファイルで、Microsoft C ++で書かれています。

ワームは、感染したメッセージから実行するために、セキュリティ違反を悪用します。その後、ワームはシステムに自身をインストールし、拡散ルーチンとペイロードを実行します。

ワームは以下の "著作権"テキスト文字列を含んでいます:

Concept Virus(CV)V.5、Copyright(C)2001 RPChina

インストール

インストール中、ワームは自身をコピーします:

MMC.EXE名でWindowsディレクトリに移動します。

RICHED20.DLL(および元のWindows RICHED20.DLLファイルを上書き)およびLOAD.EXE名でWindowsシステムディレクトリに移動します。

最後のものは、SYSTEM.INIファイルの自動実行セクションに登録されます。

[boot] shell = explorer.exe load.exe -dontrunold

ワームはまた、MEP * .TMPとMA * .TMP.EXEのランダムな名前を使用してTemporaryディレクトリに自身をコピーします。

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

EXEファイルには、隠し属性とシステム属性、LOAD.EXEファイル(上記参照)があります。

その後、ワームは拡散とペイロードのルーチンを実行します。ワームはWindowsのバージョンによって、EXLORER.EXEプロセスに影響を与え、EXPLORERのバックグラウンドプロセス(スレッド)としてそのルーチンを実行する可能性があります。

電子メールによる広がり

ワームは、感染したメッセージを送信するために、SMTPプロトコルを使用してホストマシンに接続し、そのコピーを被害者アドレスに送信します。

犠牲者の電子メールアドレスを取得するために、このワームは2つの方法を使用します。

* .HTMと* .HTMLファイルをスキャンし、電子メールのような文字列を探します。

2. MAPIを使用して、MS Exchangeの電子メールボックスに接続し、そこから電子メールアドレスを取得します。

感染したメッセージはHTML形式であり、以下を含みます。

件名:空またはランダム
ボディ:空
添付:README.EXE
サブジェクトは、フォルダからランダムに選択されたファイルの名前から選択されます。

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

通常これは「マイドキュメント」またはC:ドライブ上のランダムに選択されたファイルです。

感染したメッセージから広がるために、このワームは "IFRAME"トリックを使用します。この脆弱性は、

マイクロソフトセキュリティ情報(MS01-020):不正なMIMEヘッダーにより、IEが電子メール添付ファイルを実行する可能性があります。http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ダウンロードパッチ:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

何が原因で起こりますか?

HTMLメールにMIMEタイプがいくつかの異常なタイプの1つとして間違って与えられている実行可能な添付ファイルが含まれていると、IEの欠陥により警告ダイアログを表示せずに添付ファイルが実行されます。

パッチは何をしますか?

この更新プログラムは、IEのMIMEタイプと関連するアクションの表を修正することにより、この脆弱性を排除します。これは、電子メールが実行可能な添付ファイルを自動的に起動できないようにする効果があります。

ローカルネットワークを介した広がり

ワームは、ローカルと共有(マップされた)リモートドライブを3つの異なる方法でスキャンし、そこにあるすべてのアクセス可能なディレクトリに感染します。

感染中、このワームは2つの異なる方法を使用します。

1.ランダムに選択された名前の.EMLファイル(95%の時間)または.NWS(5%)ファイルを作成します。その結果、これらのEMLファイルとNWSファイルは、感染したマシン(およびローカルネットワーク)のどこにでもあり、数千ものファイルが存在する可能性があります。これらのファイルには、電子メール形式のワームのコピーが含まれています。

電子メールフォームは、上記のように、MIMEエンベロープ内にワームのコピーがあり、IFRAMEトリックを持つHTML電子メールメッセージです。このメッセージが表示されると、すぐに脆弱なマシンに感染します。

2.このワームはファイル名と拡張子の組み合わせを探します:

* DEFAULT *、* INDEX *、* MAIN *、* README * + .HTML、.HTM、.ASP

(* NAME *は、ファイル名のサブストリングである可能性があることを意味します)

このようなファイルが見つかった場合、ワームはREADME.EMLという名前で電子メールフォームに自身をコピーし、犠牲者のHTM / ASPファイルにHTML / ASPファイルを開くだけのREADME.EMLファイルを開くJavaScriptプログラムを追加しますファイルが開かれており、その結果としてワームが起動します。

その結果、ワームはWebページに感染し、これらのWebサイトにアクセスするマシンに感染する可能性があります。

IIS攻撃として広がる

ワームは、そのファイルを被害者のマシンにアップロードするために、「tftp」コマンドを使用し、感染した(現在の)マシン上の一時的なTFTPサーバをアクティブにして、被害者(リモート)マシンから「get data」コマンドをまったく同じ{"BlueCode":IISWorm_BlueCode} IISワームのように。

犠牲者のマシンにアップロードされるファイルの名前はADMIN.DLLです。

ペイロード

ペイロードルーチンは、管理者ユーザーグループに「ゲスト」ユーザーを追加します(結果として、「ゲスト」ユーザーは感染したマシンにフルアクセスします)。

ワームは共有するためにすべてのローカルドライブも開きます。

"Nimda"ワームにはいくつかの亜種があります。

それらはすべてオリジナルに非常に似ていますが、そのほとんどは元のワームの "パッチ適用"バージョンです - ワーム本体のテキスト文字列は他の文字列に置き換えられます)。

Nimda.b

これはオリジナルの "Nimda"ワームですが、PCShrink Win32 PE EXEファイル圧縮プログラムで圧縮されています。文字列:

README.EXE、README.EML

次のものに置き換えられます。

PUTA !!。SCR、PUTA !!。EML

Nimda.c

これはまさにオリジナルの "Nimda"ワームですが、UPX圧縮プログラムで圧縮されています。

Nimda.d

この亜種は、2001年10月末にインターネットに郵送されました。圧縮形式(PECompact圧縮形式)で配布され、この形式は27Kサイズです。

元のワームとの唯一の違いは、このバージョンで次のテキストでパッチされている "著作権"テキスト文字列です。

ホロカストウイルス! Stephan Fernandez.SpainによるV.5.2

Nimda.e

これは再コンパイルされた "Nimda"変種であり、いくつかのマイナールーチンがわずかに固定されているか最適化されています。この変種は2001年10月の終わりに野生で見つかった。

オリジナルのワームバージョンとの目に見える違いは次のとおりです。

添付ファイル名:
SAMPLE.EXE(README.EXEの代わりに)

DLLファイルは次のとおりです。
HTTPODBC.DLLとCOOL.DLL(ADMIN.DLLではなく)

「著作権」テキストは次のものに置き換えられます。
コンセプトウイルス(CV)V.6、Copyright(C)2001、(This CV、No Nimda。)

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Confirm changes?
Your message has been sent successfully.