--2011年3月8日更新---
・実行時、以下の場所に自身をコピーします。
- %WinDir%\system32\framebufb.exe
- %Systemdrive%\Nueva_carpetaa.exe
・以下のレジストリキーがシステムに追加されます。
- HKEY_USERS\S-1-5[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System
- HKEY_USERS\S-1-5[不定]\Software\Policies\Microsoft\Internet Explorer\Control Panel
- HKEY_USERS\S-1-5[不定]\Software\Win Album
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WindowsCMD = ""%WinDir%\System32\framebufb.exe" primary"
- [HKEY_USERS\S-1-5[不定]\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001
- [HKEY_USERS\S-1-5[不定]\Software\Policies\Microsoft\Internet Explorer\Control Panel]
Homepage = 0x00000001
- [HKEY_USERS\S-1-5[不定]\Software\Win Album]
value = "framebufb"
・以下のレジストリ値が改変されます。
- [HKEY_CURRENT_USER\S-1-5[不定]\Software\Microsoft\Internet Explorer\Main]
Start Page = http://www.[削除]oft.com/isapi/redir.dll?prd=ie&pver=6&ar=[削除]nhome
Start Page = "http://www.[削除]ps.com/?
[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)、%SystemDrive%\はc:\]
--2011年2月11日更新-------------------
・新しい亜種は、以下のファイル構造を使って、リムーバブルドライブ、共有ドライブに自身をコピーします。
X:\Early\life\DesKTop.ini
X:\Early\life\UpDaTe.exe
・Xはドライブ文字です。
・autorun.infファイルには以下の語句が格納されています。
;Starting at age 14 he became a great fan of The Beatles.
・また、以下のWebサイトに接続しようとします。
- acc53v3n.selfip.biz
- accf1v3.servebbs.com
- acc7w0.podzone.org
--2010年9月10日更新-------------------
・「W32/Autorun.worm.c」は、リムーバブルドライブまたはネットワーク共有を介して拡散する、VBで作成されたワームです。
・実行時、以下の場所に自身をコピーします。
- %SYSTEMDRIVE%\fun.xls.exe
- %ProgramFiles%\EXPLORER.EXE
・さらに、以下のファイルをドロップ(作成)します。
- %SYSTEMDRIVE%\Autorun.inf
・「AutoRun.inf」ファイルはW32/Autorun.worm.cの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Autorun.worm.cが自動的に起動されます。
・また、既存のフォルダ名で自身をコピーし、既存のフォルダの属性を変更して隠します。
- %SYSTEMDRIVE%\Documents and Settings.exe
- %SYSTEMDRIVE%\Program Files.exe
- %SYSTEMDRIVE%\WINDOWS.exe
・上記のファイルがクリックで開かれると、W32/Autorun.worm.cがバックグラウンドで実行されると同時に、対応するオリジナルのフォルダが開かれ、ユーザに表示されます。
・以下のレジストリキーがシステムに追加されます。
- HKEY_USERS\S-1-(不定)\Software\VB and VBA Program Settings\ShitMaker
- HKEY_USERS\S-1-(不定)\Software\VB and VBA Program Settings\ShitMaker\Info
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
NeverShowExt = ""
・上記のレジストリ項目により、ファイル拡張子を非表示にします。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FolderRaper ="%SystemDrive%\XXX.exe"
[注:XXXはC:\ドライブの既存のフォルダ名]
・上記のレジストリにより、システムが起動するたびにW32/Autorun.worm.cが実行されるようにします。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools ="0x00000001"
DisableTaskMgr ="0x00000001"
・上記のレジストリにより、タスクマネージャ、レジストリツールを無効にします。
- [HKEY_USERS\S-1-5-(不定)\Software\VB and VBA Program Settings\ShitMaker\Info\]
ActivedEXE= "%ProgramFiles%\EXPLORER.exe"
- [HKEY_USERS\S-1-5-(不定)\Software\VB and VBA Program Settings\ShitMaker\Info\]
LastStartTime= "09-09-2010 5:53:53 PM"
・最後に実行された日時を収集し、ユーザによるレジストリの変更を元に戻します(W32/Autorun.worm.cが作成した値に戻します)。
・以下の不快なメッセージを含む「FlashWindow」が表示される可能性があります。
- yourbossishere!
- notimeforfun!
- showmeyourbody!
- whatisyou?
- whoisyourmaster?
・W32/Autorun.worm.cにより、攻撃者はシステムを完全に制御し、以下のコマンドを使ってバックドア活動を仕掛けることができます。
- SilencePassword
- ChangeFolder
- StopPassword
- SuperGlasses
- BrokeGlasses
[注:%SystemDrive% = Windowsがインストールされているドライブ(ほとんどのコンピュータではC:がデフォルトになります)、%ProgramFiles% - C:\Program Files]
--2010年9月1日更新-------------------
・実行時、以下の場所に自身をコピーします。
- %Appdata%\wmimgmt.exe [Generic.dx!tqhという名前で検出]
- [リムーバブルドライブ]:\RECYCLER\wmimgmt.exe [隠しファイル] [Generic.dx!tqhという名前で検出]
・また、以下のファイルをドロップ(作成)します。
- %Temp%\ifd10.tmp
- %Temp%\54B65DC7.db
- %Temp%\tmp~ghi.log
- %Userprofile%\DRM\Media\54B65DC7.db
- [リムーバブルドライブ]:\AuToRUn.iNf [隠しファイル]
- [リムーバブルドライブ]:\RECYCLER\desktop.ini
・また、アクセス可能なディスクボリュームのルートにautorun.infファイルを作成しようとします。
・「AutoRun.inf」ファイルはW32/Autorun.worm.cの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Autorun.worm.cが自動的に起動されます。
・また、既存のフォルダ名で自身をコピーし、既存のフォルダの属性を変更して隠します。
・新たに作成されたこれらのファイルはフォルダのように見えます。ファイルをクリックして開くと、バックグラウンドで動作すると同時に、対応するオリジナルのフォルダを開きます。
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent
・以下のレジストリ値が追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt: ""
・上記のレジストリ項目により、ファイル拡張子を非表示にします。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wmi32" = "%Appdata%\wmimgmt.exe"
・上記のレジストリ項目により、システムが起動するたびにW32/Autorun.worm.cが実行されるようにします。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RFC1156Agent\CurrentVersion\Parameters\]
TrapPollTimeMilliSecs: 0x00003A98
・以下のレジストリ値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\]
“UncheckedValue” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“SuperHidden” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“ShowSuperHidden” = “0x00000000”
・上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Appdata%はApplication Dataフォルダ、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
--2010年8月21日更新-------------------
・「W32/Autorun.worm.c」はリムーバブルドライブまたはネットワーク共有を介して拡散するワームです。また、マルウェアの作者が管理するWebサイトから悪質なファイルをダウンロードします。
・実行時、以下のWebサイトに接続して、リモートサーバから悪質なファイルをダウンロードします。
- ns1.vi[削除]hares.com、リモートポート8000を使用
- ns1.pla[削除]523.com、リモートポート8000を使用
・また、以下のサイトではリモートポート80が使用されています。
- ns1.vi[削除]res.com
- 78.[削除].122
- 109.[削除].42
- 78.[削除].122
- http://www.vide[削除]net/?media=u7xrTq&embedded=false
・以下のファイルがシステムに追加されます。
- %Temp%\4.tmp [トロイの木馬と判明]
- %Temp%\6.tmp [トロイの木馬と判明]
- %userprofile%\piufoij.exe [ワームと判明]
- %userprofile%\vpnmon\vpnmon.exe [トロイの木馬と判明]
- [リムーバブルドライブ]:\autorun.inf [ワームと判明]
- [リムーバブルドライブ]:\naufe.exe [ワームと判明]
- [リムーバブルドライブ]:\naufex.exe [ワームと判明]
- [リムーバブルドライブ]:\piufoij.exe [ワームと判明]
・「autorun.inf」ファイルはW32/Autorun.worm.cの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Autorun.worm.cが自動的に起動されます。
[auTOrUn]
acTion=Open folder to view files
ShELlExeCUTe=nAuFE.exE
ICON=%syStEMROoT%\SYSTEM32\shEll32.dlL,4
USEaUtoplAY=1
・また、ダウンロードされたファイルは既存のフォルダ名で自身をコピーし、既存のフォルダの属性を変更して隠します。
・新たに作成されたこれらのファイルはフォルダのように見えます。ファイルをクリックして開くと、バックグラウンドで動作すると同時に、ユーザが閲覧するために、対応するオリジナルのフォルダを開きます。
・リムーバブルメディアに以下のフォルダのリンクを作成します。
- Music
- Video
- Documents
- Pictures
・上記のフォルダのリンクがクリックして開かれると、W32/Autorun.worm.cが実行されます。
・以下のレジストリ値がシステムに追加されます。
- [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
Toahea="="%userprofile%\toahea.exe /W"
- [HKEY_USERS \S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
piufoij"="%userprofile%\piufoij.exe /Q"
- [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
vpnmon"="%userprofile%\vpnmon\vpnmon.exe"
・上記のレジストリ項目により、Windowsの起動時にW32/Autorun.worm.cが実行されるようにします。
- [HKEY_USERS\S-1-5-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\]
Maxhttpredirects="0x000022B8"
enablehttp1_1=" 0x00000001"
ProxyEnable="0x00000000"
・また、以下のIM、ソーシャルネットワーキングサイトを介して繁殖します。
- facebook.com
- twitter.com
- YahooMessenger
- msnmsgr
・以下のファイルがリモートサーバからダウンロードされ、DoS(サービス拒否)攻撃が仕掛けられます。これにより、ユーザは通常のシステム活動ができなくなります。
- %ProgramFiles%\eMule\Incoming\00001111ytytytytytytryt.wma
- %ProgramFiles%\eMule\Incoming\M-Phazes-Good Gracious(2010).wma
- %ProgramFiles%\eMule\Incoming\M-Project - Makina Progression 2 (2010).wma
- %ProgramFiles%\eMule\Incoming\M-Swift presents 24 Carat-Blue In Black.wma
- %ProgramFiles%\eMule\Incoming\Monica Mancini - The Dreams of Johnny Mercer.wma
- %ProgramFiles%\eMule\Incoming\Monica Still Standing 2010.wma
- %ProgramFiles%\eMule\Incoming\Monica-Still Standing-2010.wma
- %ProgramFiles%\eMule\Incoming\MonicaStill Standing 2010.wma
- %ProgramFiles%\eMule\Incoming\Monique - Wenn Schweigen Spricht.wma
- %ProgramFiles%\eMule\Incoming\Monk - The Men Who Sleeps On His Brea (2008).wma
- %ProgramFiles%\eMule\Incoming\Monkey Business And Danny Suko - How Will I Know (godlike Music Port remix).wma
- %ProgramFiles%\eMule\Incoming\Monkey Business And Danny Suko - How Will I Know godlike Music Port remix.wma
- %ProgramFiles%\eMule\Incoming\Monkeyfunk Feat. Eva My Way House (2010).wma
- %ProgramFiles%\eMule\Incoming\Monkeyfunk Feat. Eva My Way House 2010.wma
- %ProgramFiles%\eMule\Incoming\Monkeysteak - Lighthouse Dub (2006).wma
- %ProgramFiles%\eMule\Incoming\Mono No Aware - Forms of Hands 10 (2010).wma
- %ProgramFiles%\eMule\Incoming\Mono-Holy_Ground-NYC_Live_With_The_Wordless_Music_Orchestra-DVD-Bonus_Track-2010-hXc.wma
- %ProgramFiles%\eMule\Incoming\Monobox Realm House (2010).wma
- %ProgramFiles%\eMule\Incoming\Monobox Realm House 2010.wma
- %ProgramFiles%\eMule\Incoming\Monodeluxe feat Paola - Soul Glamour (2010).wma
- %ProgramFiles%\eMule\Incoming\Monodeluxe feat Paola - Soul Glamour 2010.wma
- %ProgramFiles%\eMule\Incoming\Monodeluxe feat Paola - Soul Glamour Album (2010).wma
- %ProgramFiles%\eMule\Incoming\Monodeluxe feat Paola - Soul Glamour Album 2010.wma
- %ProgramFiles%\eMule\Incoming\Monodeluxe feat. Paola - The Album 2010.wma
- %ProgramFiles%\eMule\Incoming\Monokino - Human Error (2009).wma
- %ProgramFiles%\eMule\Incoming\MonokleGalun - In Frame (2010).wma
- %ProgramFiles%\eMule\Incoming\Monokreck_Aka_the_Scarfraver_-_Live_at_XT3_Techno_Radio_2nd_.wma
- %ProgramFiles%\eMule\Incoming\Monolith Of Doom - Devastation Panorama (2009).wma
- %ProgramFiles%\eMule\Incoming\Monolith Of Doom Devastation Panorama Electronic.wma
- %ProgramFiles%\eMule\Incoming\MonolythCobalt Rives Ambient (2010).wma
- %ProgramFiles%\eMule\Incoming\MonolythCobalt Rives Ambient 2010.wma
- %ProgramFiles%\eMule\Incoming\Monomate - Grand Battle 2010.wma
- %ProgramFiles%\eMule\Incoming\MonoNikitaman - Das Alles (2008).wma
- %ProgramFiles%\eMule\Incoming\MonoPoly - The George Machine EP Vinyl (2009).wma
- %ProgramFiles%\eMule\Incoming\Monostrip - Like A Drug (2010).wma
- %ProgramFiles%\eMule\Incoming\Monrose - Ladylike (2010).wma
- %ProgramFiles%\eMule\Incoming\Monrose - Ladylike 2010.wma
- %ProgramFiles%\eMule\Incoming\Monrose Ladylike Pop (2010).wma
- %ProgramFiles%\eMule\Incoming\Monrose Ladylike Pop 2010.wma
- %ProgramFiles%\eMule\Incoming\Monrose Like A Lady Pop (2010).wma
- %ProgramFiles%\eMule\Incoming\Monrose Like A Lady Pop 2010.wma
- %ProgramFiles%\eMule\Incoming\Monstar - Usher (Raymond v Raymond).wma
- %ProgramFiles%\eMule\Incoming\Monster - Lady GaGa (The Fame Monster (Deluxe Version)).wma
- %ProgramFiles%\eMule\Incoming\Monster - Lady GaGa (The Fame Monster).wma
- %ProgramFiles%\eMule\Incoming\Monster Magnet - Powertrip.wma
- %ProgramFiles%\eMule\Incoming\Monster Movie - Everyone Is a Ghost (2010).wma
- %ProgramFiles%\eMule\Incoming\Monster Movie - Everyone Is A Ghost 2010.wma
- %ProgramFiles%\eMule\Incoming\Monster Tunes Winter Collection 01 (2010).wma
- %ProgramFiles%\eMule\Incoming\Monsters - Various Artists (The Twilight Saga New Moon (Deluxe Version) [Original Motion Picture Soundtrack]).wma
- %ProgramFiles%\eMule\Incoming\Monsters Of Folk - Monsters Of Folk 2009.wma
- %ProgramFiles%\eMule\Incoming\Monsters Of Folk Monsters Of Folk(2009).wma
- %ProgramFiles%\eMule\Incoming\Montag - Explorer's Club 5. Berlin-Sto (2010).wma
- %ProgramFiles%\eMule\Incoming\Montana Movie (Track List).wma
- %ProgramFiles%\eMule\Incoming\Monte La Rue - The End Of The Rainbow.wma
- %ProgramFiles%\eMule\Incoming\Monte Montgomery - T-Bones BarGrill, Denison, TX (2010).wma
- %ProgramFiles%\eMule\Incoming\Montgomery - Stromboli (2009).wma
- %ProgramFiles%\eMule\Incoming\Montgomery Gentry - My Town (2002).wma
- %ProgramFiles%\eMule\Incoming\Montgomery Gentry - Something to be proud Of (2005.wma
- %ProgramFiles%\eMule\Incoming\Montgomery Gentry - Something to be proud Of 2005.wma
- %ProgramFiles%\eMule\Incoming\Montgomery Gentry - TattoosScars (1999).wma
- %ProgramFiles%\eMule\Incoming\Month of May - Arcade Fire (The Suburbs).wma
- %ProgramFiles%\eMule\Incoming\Montrose - Montrose 1973.wma
- %ProgramFiles%\eMule\Incoming\Monzano - By This Time Last Year Everything Will Seem Younger 2010.wma
- %ProgramFiles%\eMule\Incoming\Moodorama - Listen (2003).wma
- %ProgramFiles%\eMule\Incoming\Moodorama - Listen 2003.wma
- %ProgramFiles%\eMule\Incoming\Moodswing Identity Crisis Hip-Hop 2002.wma
- %ProgramFiles%\eMule\Incoming\Moody - Music People - the Dancer (Vin (2009).wma
- %ProgramFiles%\eMule\Incoming\Moodymanc Gretsch Ep House (2010).wma
- %ProgramFiles%\eMule\Incoming\Moodymanc Gretsch Ep House 2010.wma
- %ProgramFiles%\eMule\Incoming\Moon DevilS Return Black Metal 2010.wma
・以下のフォルダがシステムに追加されます。
- %userprofile%\vpnmon
- %ProgramFiles%\eMule
- %ProgramFiles%\eMule\Incoming
[%Temp%はテンポラリフォルダ、%userprofile%はC:\Documents and Settings\[ユーザ名]、%ProgramFiles% - C:\Program Files]
--2010年7月16日更新-----------------------
・実行時、以下の場所に自身をコピーします。
- %USERPROFILE%\Local Settings\Application Data\Start\update.exe [W32/Autorun.worm!kcという名前で検出]
- [リムーバブルドライブ]:\[ランダムな名前].exe [W32/Autorun.worm!kcという名前で検出]
・特定のドライブの既存フォルダの名前ですべてのリムーバブルドライブのルートに自身をコピーします。
・以下のフォルダがシステムに追加されます。
- [リムーバブルドライブ]:\Usb 2.0 Driver\ S-1-5-31-1286970278978-5713669491-166975984-320\dmc
- [リムーバブルドライブ]:\Usb 2.0 Driver\ S-1-5-31-1286970278978-5713669491-166975984-320\tlsr
・上記のフォルダはW32/Autorun.worm.cによって作成される隠しフォルダです。
・以下のレジストリ値が追加されます。
・以下のレジストリにより、Windowsが起動するたびに、W32/Autorun.worm.cがスタートフォルダでプロセスを実行するようにします。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\] “Startup” = "%UserProfile%\Local Settings\Application Data\Start"
・以下のレジストリ値が改変されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\] Hidden = 0x00000002
- [HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\] ShowSuperHidden = 0x00000000
・上記のレジストリ項目により、乗っ取ったユーザがシステムの隠しファイル、フォルダを閲覧できないようにします。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\] HideFileExt: 0x00000001
・上記のレジストリ項目により、システムのファイルの拡張子が表示されないようにします。
・W32/Autorun.worm.cのインスタンスが一度に1つだけ動作するよう、以下のMutexオブジェクトが作成されます。
注:
[%UserProfile%はc:\Documents and Settings\Administrator\]
--2010年6月30日更新-----------------------
・実行時、以下の場所に自身をコピーします。
%WinDir%\h2s.exe
%WinDir%\nacl.exe
%WinDir%\userinit.exe
%winDir%\SYSTEM\lsass.exe
・以下の場所にあるhostsファイルを改変します。
%WinDir%\System32\drivers\etc\hosts (QHosts-24という名前で検出)
・自身のコピーのRUN項目を作成します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- "pikachu" = "C:\WINDOWS\nacl.exe"
・以下のレジストリ値が改変されます。
[HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
[HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
- “HideFileExt:” = “ 0x00000001”
[HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
- “SuperHidden:” = “ 0x00000000”
[HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
- “ShowSuperHidden:” = “0x00000000”
・上記のレジストリ項目により、ファイル拡張子を隠し、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。
・タスクマネージャ、コマンドプロンプトを無効にします。
・以下のドメインに接続します。
- cmdcmd[削除].php0h.com
- web[削除].com
--2010年6月28日更新-----------------------
・実行時、以下の場所に自身をコピーします。
- %WinDir%\system32\dream.exe [隠しファイル] [W32/Autorun.worm.nという名前で検出]
- %SystemDrive%\sbl.exe [隠しファイル] [W32/Autorun.worm.nという名前で検出]
・また、以下のファイルをドロップ(作成)します。
- %SystemDrive%\autorun.inf [隠しファイル] [Generic!atrという名前で検出]
- %WinDir%\system32\1.inf [隠しファイル] [Generic!atrという名前で検出]
- %WinDir%\system32\plmmsbl.dll [悪質でないファイル(urlmon.dllのコピー)]
・すべてのリムーバブルドライブ、マップされたドライブのルートにautorun.infファイルをドロップ(作成)し、ドライブアクセス時に実行ファイルが自動的に実行されるようにします。
・「AutoRun.inf」ファイルはW32/Autorun.worm.cの実行ファイルを指しており、自動実行機能をサポートするマシンからリムーバブルドライブやネットワーク接続されたドライブがアクセスされると、W32/Autorun.worm.cが自動的に起動します。
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\]
“melove” = “%WinDir%\System32\dream.exe”
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\]
“dream” = “%WinDir%\System32\dream.exe”
・上記のレジストリにより、W32/Autorun.worm.cが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
・ユーザのシステムの乗っ取り後、以下のセキュリティソフトウェアを探して終了します。
- 360tray
- 360safe
- Kaspersky
- Nod32
・以下のサイトから他の悪質なファイルをダウンロードします。
- http://sae123.[削除].com/1/home1.html
・また、以下のコマンドを実行して、Windowsファイアウォールを無効にします。
- cmd.exe /c net stop sharedaccess
・以下のmutexを作成して、一度に1つのインスタンスのW32/Autorun.worm.cしかコンピュータ上で実行できないようにします。
[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000)、%SystemDrive%\はc:\]
--2010年5月19日更新----------------
・W32/Autorun.worm.cはシステムに接続されているリムーバブルメディアに自身をコピーして拡散し、「autorun.inf」ファイルを作成して、デバイスが接続された別のシステムで自身を実行します。
・実行時、以下の場所に自身をコピーします。
- %SystemDrive%\RECYCLER\X-1-(不定)\WinSysApp.exe (隠しファイル)
- %SystemDrive% \Program Files\Windows Common Files\Commgr.exe (隠しファイル)
- %SystemDrive% \Program Files\Windows Alerter\WinAlert.exe (隠しファイル)
注:上記の「Program Files」フォルダはW32/Autorun.worm.cによって作成される隠しフォルダです。オリジナルの「Program Files」フォルダと違い、この隠しフォルダにはスペースが追加されています。
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"WindowMessenger:" = "%SystemDrive% \RECYCLER\X-1-(不定)\WinSysApp.exe"
- [KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"Windows Alerter:" = "%SystemDrive% \Program Files\Windows Alerter\WinAlert.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
"Windows Common Files Manager:" = "%SystemDrive% \Program Files\Windows Common Files\Commgr.exe"
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
"WindowMessenger:" = "%SystemDrive% \RECYCLER\X-1-(不定)\WinSysApp.exe"
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
"Windows Alerter:" = "%SystemDrive% \Program Files\Windows Alerter\WinAlert.exe"
- [KEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
"Windows Common Files Manager:" = "%SystemDrive%\Program Files\Windows Common Files\Commgr.exe"
・上記のレジストリ項目により、Windowsが起動するたびにW32/Autorun.worm.cが実行されるようにします。
・以下のレジストリ値が改変されます。
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“Hidden:” = “0x00000002”
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“HideFileExt:” = “ 0x00000001”
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“SuperHidden:” = “ 0x00000000”
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“ShowSuperHidden:” = “0x00000000”
・上記のレジストリ項目により、ファイル拡張子を隠し、乗っ取ったユーザが隠しファイル、フォルダを閲覧できないようにします。
・ユーザのシステムの乗っ取り後、W32/Autorun.worm.cはリムーバブルドライブを探します。見つかると、以下の場所に自身をコピーします。
- [リムーバブルドライブ]:\RECYCLER\OmEkZdL.exe
・また、以下のファイルをドロップ(作成)します。
- [リムーバブルドライブ]:\Autorun.inf
・ユーザが感染したリムーバブルドライブを別のシステムに差し込むと、W32/Autorun.worm.cが拡散します。また、既存のフォルダ名でリムーバブルドライブに自身をコピーして拡散し、既存のフォルダの属性を変更して、既存フォルダを隠します。
注:[%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
--2010年4月14日更新--------------------
・W32/Autorun.worm.cは、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Autorun.worm.cを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散します。
・以下のレジストリ項目が削除されます。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
"NoDriveTypeAutoRun"
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\]
"NoDriveTypeAutorun"
・上記のレジストリ値は、AutoRun: NoDriveAutoRunおよびNoDriveTypeAutoRunを無効にするのに使われます。最初の値は特定のドライブ文字の自動実行を無効にし、2番目の値はドライブのクラスの自動実行を無効にします。いずれかの値が特定のデバイスの自動実行を無効にするように設定されると、自動実行が無効になります。
・W32/Autorun.worm.cは上記のレジストリ項目を削除して、特定のシステムで自動実行機能が無効にされている場合でも、W32/Autorun.worm.cが実行されるようにします。
・以下のレジストリ項目が追加されます。
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
"Hidden", "REG_DWORD", "2"
・上記のレジストリ項目により、乗っ取ったユーザのシステムに自身が表示されないようにします。
・ユーザが以下をはじめとするセキュリティ関連ソフトウェアにアクセスしようとすると、ソフトウェアを強制終了します。
- tcpview.exe
- wireshark.exe
- netstat.exe
・whatismyip.comおよびcheckip.dyndns.orgに接続して乗っ取ったユーザのIPアドレスを入手し、その情報をテンポラリファイルに保存し、IRCチャネルを介してリモート攻撃者に送信します。
・実行時、以下のサイトに接続します。
・以下のレジストリ項目が乗っ取ったシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
59w6ohet2krtfjx.exe: "%WinDir%\59w6ohet2krtfjx.exe"
・上記のレジストリ項目により、システムが起動するたびにW32/Autorun.worm.cが実行されるようにします。
・以下の場所に自身をコピーします。
- %WinDir%\59w6ohet2krtfjx.exe
・以下のスクリーンショットから、リムーバブルドライブを接続したシステムが自動実行に設定されている場合、W32/Autorun.worm.cを自動的に実行するautorun.infファイルを作成して、リムーバブルドライブに拡散することがわかります。
・以下は一般的なパス変数の既定値です。(異なる場合もありますが、一般的には以下のとおりです。)
%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files, %SystemDrive% = オペレーティングシステムがインストールされているドライブで、通常はC:\
・W32/Autorun.worm.cはリムーバブルドライブまたはネットワーク共有を介して拡散するワームです。
・実行時、W32/Autorun.worm.cは自身を以下にコピーします。
%WinDir%\system32\drivers\svchost.exe
(%WinDir%はデフォルトのWindowsフォルダ。例:C:\WINNT、C:\WINDOWSなど)
・以下のファイルをドロップ(作成)します。
%User_Profile%\Local Settings\Temp\rs.bat
(%UserProfile%はカレントユーザのデフォルトのプロファイルフォルダ。例:C:\Documents and Settings\Administrator\(カレントユーザが管理者の場合))
・Windows AutoUpdateサービスの設定を以下の値に変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent\: 0x00000011
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Type: 0x00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\ErrorControl: 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\ImagePath: "%SystemRoot%\system32\drivers\svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Description: "??????? Windows ???????????,???????? Windows Update ??????????"
・また、以下のレジストリキーを削除します。
HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\ServiceDll: "%WinDir%\System32\wuauserv.dll"
・W32/Autorun.worm.cはネットワーク共有またはリムーバブルドライブにautorun.infファイルおよび自身のコピーをドロップして拡散する可能性があります。
