WORM_AUTORUN.AOA
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
このファイルには、ワームが他のファイルをダウンロードするためにアクセスするURLが含まれています。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\ydze.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- EXPLORER.EXE
ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %Application Data%\ydze.exe
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- Sex.and.the.City.2
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、既存の "AUTORUN.INF" に以下の文字列を追加して、このINFファイルの内容を変更します。これにより、作成した自身のコピーが自動実行されます。
- {garbage}
[AUtorUN
{garbage}
OPEN=Sex.and.the.City.2//////Sex.and.the.City.2.R5.Xvid-TPB.exe
{garbage}
USEAuTopLAY=1
{garbage}
SHELL\\EXplore\COMMAND=Sex.and.the.City.2////\Sex.and.the.City.2.R5.Xvid-TPB.exe
{garbage}
SHELL\\OPEN\COMMAND=Sex.and.the.City.2////\Sex.and.the.City.2.R5.Xvid-TPB.exe
{garbage}
その他
このファイルには、ワームが他のファイルをダウンロードするためのURLが含まれています。情報公開日現在、このファイルには以下のURLが含まれています。
- www.{BLOCKED}bam.info