Worm.VBS.PSYME.A

2020年3月2日

解析者: Mohammed Malubay

別名:

Trojan.VBS.Agent.dg(KASPERSKY); VBS/Psyme.b(NAI); W32.SillyFDC(NORTON);

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 3,261 bytes

タイプ VBS

発見日 2020年2月28日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Application Data%\Microsoft\Windows\Templates\{malware filename}.vbs

ワームは、以下のファイルを作成します。

{drive letter}:\autorun.inf
%Application Data%\Microsoft\Windows\Templates\1.exe
%Application Data%\Microsoft\Windows\Templates\2.exe
%Application Data%\Microsoft\Windows\Templates\3.exe
%Application Data%\Microsoft\Windows\Templates\4.exe
%Application Data%\Microsoft\Windows\Templates\5.exe
%Application Data%\Microsoft\Windows\Templates\6.exe
%Application Data%\Microsoft\Windows\Templates\7.exe
%Application Data%\Microsoft\Windows\Templates\8.exe
%Application Data%\Microsoft\Windows\Templates\9.exe
%Application Data%\Microsoft\Windows\Templates\10.exe

ワームは、以下のプロセスを追加します。

"%System%\attrib.exe" +a +s +h +r "%Application Data%\Microsoft\Windows\Templates\{malware filename}.vbs"
"%System%\attrib.exe" +a +s +h +r "C:\autorun.inf"
"%System%\attrib.exe" +a +s +h +r "C:\{malware filename}.vbs"
"%System%\attrib.exe" +a +s +h +r "D:\autorun.inf"
"%System%\attrib.exe" +a +s +h +r "D:\{malware filename}.vbs"
"%System%\attrib.exe" +a +s +h +r "F:\autorun.inf"
"%System%\attrib.exe" +a +s +h +r "F:\{malware filename}.vbs"
"%System%\attrib.exe" +a +s +h +r "G:\autorun.inf"
"%System%\attrib.exe" +a +s +h +r "G:\{malware filename}.vbs"
"%System%\attrib.exe" -a -s -h -r "C:\autorun.inf"
"%System%\attrib.exe" -a -s -h -r "D:\autorun.inf"
"%System%\attrib.exe" -a -s -h -r "F:\autorun.inf"
"%System%\attrib.exe" -a -s -h -r "G:\autorun.inf"
"%System%\taskkill.exe" /im 360tray.exe
"%System%\WScript.exe" "%Desktop%\{malware filename}.vbs"
"%Windows%\system32\ntvdm.exe" -i1
"%Windows%\system32\ntvdm.exe" -i2
"%Windows%\system32\ntvdm.exe" -i3
"%Windows%\system32\ntvdm.exe" -i4
"%Windows%\system32\ntvdm.exe" -i5
"%Windows%\system32\ntvdm.exe" -i6
"%Windows%\system32\ntvdm.exe" -i7
"%Windows%\system32\ntvdm.exe" -i8
"%Windows%\system32\ntvdm.exe" -i9
"%Windows%\system32\ntvdm.exe" -ia

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
system = wscript.exe "%Application Data%\Microsoft\Windows\Templates\{malware filename}.vbs" t

HKEY_LOCAL_MACHINE\SOFTWARE\MSGNLMSL
start = 351

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

{drive letter}:\{malware filename}.vbs

その他

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\MSGNLMSL

ワームは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}l.sh.com/1.exe
http://{BLOCKED}l.sh.com/2.exe
http://{BLOCKED}l.sh.com/3.exe
http://{BLOCKED}l.sh.com/4.exe
http://{BLOCKED}l.sh.com/5.exe
http://{BLOCKED}l.sh.com/6.exe
http://{BLOCKED}l.sh.com/7.exe
http://{BLOCKED}l.sh.com/8.exe
http://{BLOCKED}l.sh.com/9.exe
http://{BLOCKED}l.sh.com/10.exe

ただし、情報公開日現在、このWebサイトにはアクセスできません。

Worm.VBS.PSYME.A

概要

詳細

リソース

サポート

会社概要

東京本社

Worm.VBS.PSYME.A

概要

詳細

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa