WORM_DELF.FIG

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

• %System Root%\RECYCLER\{SID}\Desktop.ini
• {Removable Drive}:\ReadMe\Desktop.ini

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\RECYCLER\{SID}\nvapbar.exe

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のフォルダを作成します。

• %System Root%\RECYCLER\{SID}

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %System Root%\RECYCLER\{SID}\nvapbar.exe

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

• ReadMe

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Removable Drive}:\ReadMe\DriveManual.html

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

その他

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}diction.{BLOCKED}sers.com

マルウェアが作成する "AUTORUN.INF" は、以下の文字列を含みます。

;{garbage characters}
[autorun[
;{garbage characters}
[autorun
;{garbage characters}
open=cmd /c start ""
"README\DriveManual.html"

:jne1
;{garbage characters}
icon=%SystemRoot%\system32\SHELL32.dll,4
;{garbage characters}
action=Open folder to view files using
Windows Explorer
;{garbage characters}
shell\\\open\\\command=cmd /c start ""
"README\DriveManual.html"
useautoplay=1
:call

shell\\explore\\\\command=cmd /c start ""
"README\DriveManual.html"
;{garbage characters}

[AutoRun]
;{garbage characters}