Worm.Win32.SFONE.B

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Windows%\mssrv.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ワームは、以下のプロセスを追加します。

• {malware fullpath}

ワームは、フォルダ名に以下の文字列を含むフォルダ内に自身のコピーを作成します。

• tmp
• download
• temp
• share
• p2p
• incoming

ワームは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• mutex666

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
mssrv32 = %Windows%\mssrv.exe

感染活動

ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。

• install.exe
• readme.txt.exe
• notes.txt.exe
• setup.exe
• edit.exe
• start.exe
• install32.exe
• driver.exe
• game3d.exe
• screensaver.scr
• uninstall.exe
• deinstall.exe
• hdcleaner.exe
• drwatson32.exe
• safetyserver.exe
• rundll64.exe
• speedup.exe
• defrag64.exe
• summergames.exe
• soccer.exe
• word.exe
• defrag.exe
• unformat.exe
• undelete.exe
• pgp9.exe
• IE9setup.exe
• explorer.exe
• freeftp.exe

作成活動

ワームは、以下のファイルを作成します。

• %System Root%\debug.txt

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

その他

ワームは、以下を実行します。

• Uses the following string combinations to create filenames that will be use to copy itself and appends .exe as its file extension
  • zip
  • rar
  • mpeg
  • avi
  • mpg
  • gay
  • gang bang
  • fucking
  • action
  • lingerie
  • fetish
  • trambling
  • kicking
  • hardcore
  • cumshot
  • blowjob
  • handjob
  • bukkake
  • nude
  • sperm
  • cum
  • horse
  • beastiality
  • beast
  • animal
  • xxx
  • porn
  • girls
  • several models
  • [free]
  • hot (!)
  • full movie
  • big
  • uncut
  • public
  • [milf]
  • [bangbus]
  • lesbian
  • sleeping
  • masturbation
  • voyeur
  • hidden
  • licking
  • catfight
  • nipples
  • hole
  • feet
  • legs
  • glans
  • vagina
  • cock
  • boobs
  • tits
  • wifey
  • gorgeoushorny
  • beautyfull
  • sweet
  • bedroom
  • hotel
  • shower
  • traffic
  • girly
  • young
  • circumcision
  • ejaculation
  • penetration
  • fishy
  • leather
  • latex
  • boots
  • upskirthairy
  • black hairunshaved
  • high heels
  • shoes
  • pregnant
  • mature
  • 50+
  • 40+
  • granny
  • stockings
  • femdom
  • castration
  • bondage
  • sm
  • ash
  • swallow
  • redhair
  • lady
  • mistress
  • balls
  • blondie
  • Jade
  • Ashley
  • Sarah
  • Chistine
  • Liz
  • Sandy
  • Melissa
  • Anniston
  • Curtney
  • Britney
  • Karin
  • Gina
  • Samantha
  • Jenna
  • Sylvia
  • Janette
  • Kathrin
  • Tatjana
  • Sonja
  • british
  • indian
  • asian
  • swedish
  • canadian
  • rasilian
  • spanish
  • italian
  • french
  • danish
  • norwegian
  • russian
  • malaysia
  • japanese
  • chinese
  • black
  • african
  • american
  • german
  • tyrkish
• It tries to connect to random IPs then use "Administrator" as username and brute force the password using the list of credentials below