解析者: Joseph Obed   
 別名:

VirTool:Win32/VBInject.AQ (Micorsoft); W32/Autorun.worm.fx (McAfee); Worm.Win32.AutoRun.fpc (Kaspersky)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 167,988 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年2月29日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • %System Root%\RESTORE\{random SID}\Desktop.ini

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\RESTORE\{random SID}\Ogard.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のフォルダを作成します。

  • %System Root%\RESTORE\{random SID}

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}
StubPath = "%System Root%\RESTORE\{random SID}\Ogard.exe"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {removable drive letter}:\RESTORE\{random SID}\Ogard.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=RESTORE\{random SID}\Ogard.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RESTORE\{random SID}\Ogard.exe
shell\open\default=1

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • ogard.{BLOCKED}n.cc
  • Ogard.{BLOCKED}rk.biz
  • ogard.{BLOCKED}ils.net