・実行時、W32/Sdbot.worm!jeはリモートポート8680から60.10.[削除].100に接続します。
・実行時、以下の場所に自身をコピーします。
- %Windir%\system\csrss.exe [W32Sdbot.worm!jeという名前で検出]
- [リムーバブルドライブ]:\ReCycLEr\S-1-(不定)\update.exe [隠しファイル] [Generic.dx!txmという名前で検出]
・また、以下のファイルをドロップ(作成)します。
- [リムーバブルドライブ]:\ReCycLEr\S-1-(不定)\Desktop.ini
- [リムーバブルドライブ]:\autorun.inf [隠しファイル]
・「AutoRun.inf」ファイルはW32/Sdbot.worm!jeの実行ファイルを指しています。リムーバブルドライブまたはネットワーク接続されたドライブがAutorun機能をサポートしているマシンからアクセスされると、W32/Sdbot.worm!jeが自動的に起動されます。
・autorun.infは以下のコマンド構文でW32/Sdbot.worm!jeのファイルが起動するように設定されています。
- [autorun]
- open=RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
- action=
- shell\open\command=RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
- shell\open\default=1
- shell\explore\Command=RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NrConnmags
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NrConnmags\]
“ImagePath” = ""%Windir%\system\csrss.exe""
・上記のレジストリにより、W32/Sdbot.worm!jeがサービスとして乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
“EnableFirewall” = “0x00000000”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
“EnableFirewall” = “0x00000000”
・上記のレジストリ項目により、Windowsファイアウォールを無効にします。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv\]
“Start” = “0x00000004”
- [HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\wuauserv\]
“Start” = “0x00000004”
・上記のレジストリ項目により、Windowsアップデートを無効にします。
[%WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000), %Program Files%はC:\Program Files、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
