Worm.WSF.DUNIHI.NLJ

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

• %User Profile%\{Malware Filename} - if %User Profile% exists
• %Temp%\{Malware Filename} - if %User Profile% does not exist

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

If %User Profile% exists:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%User Profile%\{Malware Filename}"

If %User Profile% does not exist:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%Temp%\{Malware Filename}"

If %User Profile% exists:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%User Profile%\{Malware Filename}"

If %User Profile% does not exist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Name} = wscript.exe //B "%Temp%\{Malware Filename}"

ワームは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\{Malware Filename}

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

ワームは、以下のレジストリ値を追加します。

If it is executed in the root of a drive:
HKEY_LOCAL_MACHINE\SOFTWARE\{Malware Name}
(Default) = true - {Current Date in MM/DD/YYYY format}

If it is not executed in the root of a drive:
HKEY_LOCAL_MACHINE\SOFTWARE\{Malware Name}
(Default) = false - {Current Date in MM/DD/YYYY format}

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Removable Drive Letter}\{Malware Filename} → sets attribute to Hidden and System

マルウェアは、感染コンピュータ上にフォルダやファイルに偽装したショートカットファイル（拡張子「LNK」）を作成して自身のコピーへ誘導します。

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• excecute<|>{Command} → it executes an expression or code.
• update<|>{Codes} → it updates the existing {Malware Path}\{Malware Filename} by writing updated codes to it.
  • It restarts the updated malware by running the following process:
    • wscript.exe //B {Malware Path}\{Malware Filename}
• uninstall → it does the following:
  • It deletes created autostart registry entries.
  • It deletes %User Startup%\{Malware Filename}.
  • It deletes {Malware Path}\{Malware Filename}.
  • It deletes all shortcut files in active removable drives.
  • It deletes dropped {Malware Filename} in active removable drives.
  • It sets the attributes of original files and folders in active removable drives to normal.
  • It terminates itself afterwards.
• send<|>{File URL}<|>{Directory} → it does the following:
  • It connects to the following URL through HTTP POST to download a file from the {File URL}:
    • http://{BLOCKED}ns.net:13/is-sending<|>{File URL}
  • It saves the downloaded file as:
    • {Directory}\{Filename from File URL}
  • If {Directory} is not specified, it saves the downloaded file as:
    • %User Profile%\{Filename from File URL}
  • It executes the downloaded file afterwards.
• site-send<|>{File URL}<|>{Filename} → it does the following:
  • It connects to the {File URL} through HTTP GET to download a file.
  • It saves the downloaded file as:
    • %User Profile%\{Filename}
  • It executes the downloaded file afterwards.
• recv<|>{File Path}\{Filename} → it does the following:
  • It connects to the following URL through HTTP POST to upload a file's content specified in {File Path}\{Filename}:
    • http://{BLOCKED}ns.net:13/is-recving<|>{File Path}\{Filename}
• enum-driver → it does the following:
  • It connects to the following URL and sends the following information through HTTP POST:
    • http://{BLOCKED}ns.net:13/is-enum-driver
    • Active drives and their types.
  • It sets the User-Agent header in the HTTP request using the following system information:
    • {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
• enum-faf<|>{Directory} → it does the following:
  • It connects to the following URL and sends the following information through HTTP POST:
    • http://{BLOCKED}ns.net:13/is-enum-faf
    • List of files, folders, and subfolders, and their attributes in {Directory}
  • It sets the User-Agent header in the HTTP request using the following system information:
    • {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
• enum-process → it does the following:
  • It connects to the following URL and sends the following information through HTTP POST:
    • http://{BLOCKED}ns.net:13/is-enum-process
    • List of running processes including process name, PID, and executable path.
  • It sets the User-Agent header in the HTTP request using the following system information:
    • {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
• cmd-shell<|>{Command} → it does the following:
  • It connects to the following URL and sends the following information through HTTP POST:
    • http://{BLOCKED}ns.net:13/is-cmd-shell
    • Output of the executed command including error output.
  • It sets the User-Agent header in the HTTP request using the following system information:
    • {Volume Serial Number}<|>{Computer Name}<|>{Username}<|>{OS Caption}<|>plus<|>{Antivirus Product Name} | nan-av<|>true | false - {Current Date}
  • It executes the following command:
    • %comspec% /c {Command}
• delete<|>{File Path}\{Filename} | {Directory} → it deletes the specified file or folder.
• exit-process<|>{PID} → it terminates a process specified by its PID.
• sleep<|>{Value} → it sets the duration of sleep using a specified value in milliseconds.

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}ns.net:13/is-ready

その他

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Malware Name}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware Name}

HKEY_LOCAL_MACHINE\SOFTWARE
{Malware Name}

ワームは、以下を実行します。

• It creates shortcuts of all files, folders, and subfolders in active removable drives using the same file name, folder name, and icon.
• It sets the attributes of all files, folders, and subfolders, excluding shortcut files to Hidden and System in active removable drives.
• The created shortcut files contain the following command line in their target:
  • For files:
    • %System%\cmd.exe /c start {Malware Filename}&start {Original Filename}&exit → opens both the copied malware and the original file.
  • For folders and subfolders:
    • %System%\cmd.exe /c start {Malware Filename}&start explorer {Original Folder Name}&exit → opens both the copied malware and the original folder.
• It loops its routine indefinitely ensuring it affects all current and newly inserted removable drives.

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)