・Vundo.gen.yでは多くの亜種が検出されるため、ファイル名、レジストリキーなどの特徴は攻撃者の設定によって異なります。よって、ここでは一般的な特徴を説明します。
・Vundo.gen.yはランダムな文字を使って自身のコピーをWindowsのシステムディレクトリにドロップ(作成)します。
・Vundo.gen.yは自身をBrowser Helper Objectとして設定します。Browser Helper Objectは通常、Internet Explorer、Firefoxのようなユーザのインターネットブラウザに挿入されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ランダムなCLSID}\InprocServer32\
・亜種の中には、winlogon.exe、explorer.exeに挿入され、常駐するものもあります。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\{Vundo.gen.yのファイル名}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs "" "Vundo.gen.yのパスおよびファイル名"
・Vundo.gen.yはユーザの検索から情報を収集し、関連するポップアップウィンドウ、広告を作成します。
・以下のWebサイトでのユーザの検索をターゲットにします。
- youtube.com
- websearch.com
- usseek.com
- sensis.com.au
- searchmiracle.com
- neon.org.uk
- mirago.co.uk
- wesearchall.com
- search.about.com
- mywebsearch.com
- mysearch.myway.com
- netster.com
- lb1.netster.com
- vivisimo.com
- search.netzero.net
- search.netscape.com
- recherche.aol.fr
- query.nytimes.com
- mamma.com
- kanoodle.com
- jayde.com
- hotbot.com
- search.dmoz.org
- web.ask
- excite.co.jp
- url.searchuk.com
- uk.searchengine.com
- excite.co.jp
- infoseek.co.jp
- search.looksmart.com
- findsearch.net
- destinationadult.com
- 7search.com
- yahoo.com/search
- s.teoma.com
- search.xtramsn.co.nz
- search.wanadoo.co.uk
- search.sympatico.msn.ca
- search.msn
- search.earthlink.net
- search.daum.net
- reference.com
- instafinder.com
- goguides.org
- gigablast.com
- comcast.net
- bbc.co.uk
- ask.com/web
- altavista.com
- alltheweb.com
- alexa.com
・以下のWebサイトに接続し、情報をアップロードしたり、Vundo.gen.yの新しいバージョンをダウンロードしたりしようとします。
- http://24.244.[削除]/redirect/c.php
- http://85.12.[削除]
- http://89.188.[削除]/go
- http://65.243.[削除]/go
・亜種の中には、ユーザに悪質なシステムセキュリティツールをダウンロードするよう求める偽のエラー画面を表示するものもあります。
