VBS_WOBFUS.GG

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\drivers\alice.sys

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\wscript.exe //e:vbscript.encode %System%\drivers\alice.sys"

(註：変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFind = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileAssociate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
InfoTip = "prop:Type"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
NeverShowExt = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
QuickTip = "prop:Type"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
TileInfo = "prop:Type"

HKEY_CLASSES_ROOT\VBEFile
InfoTip = "prop:Type"

HKEY_CLASSES_ROOT\VBEFile
NeverShowExt = ""

HKEY_CLASSES_ROOT\VBEFile
QuickTip = "prop:Type"

HKEY_CLASSES_ROOT\VBEFile
TileInfo = "prop:Type"

ワームは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\VBEFile
{default} = "Microsoft Office Word 2007 Document"

(註：変更前の上記レジストリ値は、「VBScript Encoded Script File」となります。)

HKEY_CLASSES_ROOT\VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"

(註：変更前の上記レジストリ値は、「@%SystemRoot%\System32\wshext.dll,-4803」となります。)

HKEY_CLASSES_ROOT\VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"

(註：変更前の上記レジストリ値は、「%SystemRoot%\System32\WScript.exe,2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
{default} = "Microsoft Office Word 2007 Document"

(註：変更前の上記レジストリ値は、「VBScript Encoded Script File」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"

(註：変更前の上記レジストリ値は、「@%SystemRoot%\System32\wshext.dll,-4803」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"

(註：変更前の上記レジストリ値は、「%SystemRoot%\System32\WScript.exe,2」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

感染活動

ワームは、ネットワークドライブ内に以下のように自身のコピーを作成します。

• {network drive letter}:\alice.alc

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

• {removable drive letter}:\alice.alc
• {physical drive letter}:\alice.alc

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
shellexecute=wscript.exe //e:vbscript.encode alice.alc
shell\open\command=wscript.exe //e:vbscript.encode alice.alc
shell\explore\command=wscript.exe //e:vbscript.encode alice.alc