WORM_AUTORUN.GOE
VirTool:Win32/VBInject.AQ (Micorsoft); W32/Autorun.worm.fx (McAfee); Worm.Win32.AutoRun.fpc (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %System Root%\RESTORE\{random SID}\Desktop.ini
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\RESTORE\{random SID}\Ogard.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ワームは、以下のフォルダを作成します。
- %System Root%\RESTORE\{random SID}
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}
StubPath = "%System Root%\RESTORE\{random SID}\Ogard.exe"
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\RESTORE\{random SID}\Ogard.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
open=RESTORE\{random SID}\Ogard.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RESTORE\{random SID}\Ogard.exe
shell\open\default=1
その他
ワームは、以下の不正なWebサイトにアクセスします。
- ogard.{BLOCKED}n.cc
- Ogard.{BLOCKED}rk.biz
- ogard.{BLOCKED}ils.net