VBS_AUTORUN.CFQ

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\.vbe
• %Windows%\.vbe

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer\run
{machine name} = ".vbe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
til = "Raider 8.05"

HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
tjs = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
djs = "{date of first execution}"

HKEY_LOCAL_MACHINE\SOFTWARE\{machine name}
ded = "0"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {drive letter}:\.vbs

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

Raider 8.05
[AutoRun]
open=wscript .\.vbs
shell\open\command=wscript .\.vbs
shell\open\default=1