・W32/Protoride.wormは9月13日に発見されたW32/Protorideワームの新しい亜種です。特徴は以下のとおりです。
- オープン共有を使用して、リモートマシンのスタートアップフォルダに自身をコピーします。
- 以下の機能を持つIRC botが組み込まれています。
- ファイルのアップロード、ダウンロード、実行
- システム情報の読み取り
- ポートスキャンの実行
- 実行中のプロセスの終了
- TCP、UDP、ICMPフラッド(DoS)攻撃の実行
・実行後、W32/Protoride.wormは、システムが起動するたびに動作するよう、レジストリにキーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run "Windows Taskbar Manager" = [パス]iexplorer.exe
・W32/Protoride.wormはローカルネットワーク内のIPアドレスのTCP139に接続します。パブリックIPアドレスを選択することもできます。スキャンしたホストが応答すると、W32/Protoride.wormは、感染マシン上のユーザのログに記録されたユーザおよびパスワードを使用して、ターゲットに接続します。
・ターゲットマシンへのアクセスが許可されると、IEXPLORER.EXEというファイル名で以下のフォルダに自身をコピーします。
- \Documents and Settings\All Users\Start Menu\Programs\StartUp\
- \WINDOWS\Start Menu\Programs\StartUp\
- \WIN98\Start Menu\Programs\StartUp\
- \WINME\Start Menu\Programs\StartUp\
- \WIN95\Start Menu\Programs\StartUp\
- \WINDOWS.000\Start Menu\Programs\StartUp\
- \Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\
- \WINDOWS\Menu Iniciar\Programas\Iniciar\
- \WIN98\Menu Iniciar\Programas\Iniciar\
- \WINME\Menu Iniciar\Programas\Iniciar\
- \WIN95\Menu Iniciar\Programas\Iniciar\
- \WINDOWS.000\Menu Iniciar\Programas\Iniciar\
- \Documents and Settings\All Users\Menキ Inicio\Programas\Inicio\
- \WINDOWS\Menキ Inicio\Programas\Inicio\
- \WIN98\Menキ Inicio\Programas\Inicio\
- \WINME\Menキ Inicio\Programas\Inicio\
- \WIN95\Menキ Inicio\Programas\Inicio\
- \WINDOWS.000\Menキ Inicio\Programas\Inicio\
- \Documents and Settings\All Users\KSynnistS-valikko\Ohjelmat\KSynnistys\
- \WINDOWS\KSynnistS-valikko\Ohjelmat\KSynnistys\
- \WIN98\KSynnistS-valikko\Ohjelmat\KSynnistys\
- \WINME\KSynnistS-valikko\Ohjelmat\KSynnistys\
- \WIN95\KSynnistS-valikko\Ohjelmat\KSynnistys\
- \Documents and Settings\All Users\Menu DTmarrer\Programmes\DTmarrage\
- \WINDOWS\Menu DTmarrer\Programmes\DTmarrage\
- \WIN98\Menu DTmarrer\Programmes\DTmarrage\
- \WINME\Menu DTmarrer\Programmes\DTmarrage\
- \WIN95\Menu DTmarrer\Programmes\DTmarrage\
- \Documents and Settings\All Users\Menuen Start\Programmer\Start\
- \WINDOWS\Menuen Start\Programmer\Start\
- \WIN98\Menuen Start\Programmer\Start\
- \WINME\Menuen Start\Programmer\Start\
- \WIN95\Menuen Start\Programmer\Start\
- \Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
- \WINDOWS\Menu Start\Programma's\Opstarten\
- \WIN98\Menu Start\Programma's\Opstarten\
- \WINME\Menu Start\Programma's\Opstarten\
- \WIN95\Menu Start\Programma's\Opstarten\
- \Documents and Settings\All Users\Start Menu\Programlar\BASLANGIヲ\
- \WINDOWS\Start Menu\Programlar\BASLANGIヲ\
- \WIN98\Start Menu\Programlar\BASLANGIヲ\
- \WINME\Start Menu\Programlar\BASLANGIヲ\
- \WIN95\Start Menu\Programlar\BASLANGIヲ\
- \Documents and Settings\All Users\Menu Start\Programy\Autostart\
- \WINDOWS\Menu Start\Programy\Autostart\
- \WIN98\Menu Start\Programy\Autostart\
- \WINME\Menu Start\Programy\Autostart\
- \WIN95\Menu Start\Programy\Autostart\
- \Documents and Settings\All Users\Start-meny\Programmer\Oppstart\
- \WINDOWS\Start-meny\Programmer\Oppstart\
- \WIN98\Start-meny\Programmer\Oppstart\
- \WINME\Start-meny\Programmer\Oppstart\
- \WIN95\Start-meny\Programmer\Oppstart\
- \Documents and Settings\All Users\Start-menyn\Program\Autostart\
- \WINDOWS\Start-menyn\Program\Autostart\
- \WIN98\Start-menyn\Program\Autostart\
- \WINME\Start-menyn\Program\Autostart\
- \WIN95\Start-menyn\Program\Autostart\
- \Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
- \WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
- \WIN98\Menu Avvio\Programmi\Esecuzione automatica\
- \WINME\Menu Avvio\Programmi\Esecuzione automatica\
- \WIN95\Menu Avvio\Programmi\Esecuzione automatica\
- \Dokumente und Einstellungen\All Users\Startmenn\Programme\Autostart\
- \WINDOWS\Startmenn\Programme\Autostart\
- \WIN98\Startmenn\Programme\Autostart\
- \WINME\Startmenn\Programme\Autostart\
- \WIN95\Startmenn\Programme\Autostart\
- \WINDOWS.000\Startmenn\Programme\Autostart\
・W32/Protoride.wormのbotコンポーネントは以下のTCPポート6667に接続します。
- upd.extr3me.com.ar
- upd.damaged.com.ar
