本文 空白
添付ファイル 二重拡張子のファイル名(<ファイル名>.<拡張子1>.<拡張子2>)
のメールで送られてきます。
ワームのプログラムが実行されるとメモリに常駐します。ワームのプロセスはサービスとして常駐するのでCtrl-Alt-Delのタスクマネージャーには表示されません。
そしてまず以下のファイルをWindowsのシステムディレクトリに作成します。
Kernel32.exe
cp_25389.nls
kdll.dll
上記ファイルのうち"Kernel32.exe"はワームのコピーです。すでにこのファイルが存在しシステムから使用中だったとしてもワームはプロセスを中止させ元からあるファイルを削除して新しく自身のコピーを作成します。
"kdll.dll"は侵入したシステム上でのキー入力を記録するためのハッキングツールプログラムです。この"kdll.dll"も「WORM_BADTRANS.B」の名称で検出されます。"kdll.dll"も実行されるとサービスとしてメモリに
常駐します。また"cp_25389.nls"は"kdll.dll"が記録したキー入力の内容を暗号化して保存するためのログファイルです。
次にWindowsのレジストリに以下の値を追加します
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
値:kernel32 = "kernel32.exe”
これによってWindows起動時にワームが自動実行されるように設定されます。以上の設定を終えるとワームは実行された自身のファイルを削除してしまいます。
|
