WORM_DORKBOT.CD
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成され、コンピュータに侵入します。
ワームは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}le.com/dl/133427805/4e64adb/b1.dat
- http://s217.{BLOCKED}le.com/get/16dd73798d0be89ecd2b93ded050c79e829e5af7/4eaa4d00/2/4e0c5cda66f98382/7f3f25d/b1.dat
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\{random characters}.exe
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {drive letter}:\RECYCLER
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}:\RECYCLER\{random characters}.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
;{garbage}
shellexecute=RECYCLER\{random characters}.exe
;{garbage}
shell\open\command=RECYCLER\{random characters}.exe
;{garbage}
icon=shell32.dll,7
;{garbage}
action=Open folder to view files
;{garbage}
shell\explore\command=RECYCLER\{random characters}.exe
;{garbage}
useautoplay=1
;{garbage}
ルートキット機能
ワームは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
ダウンロード活動
ワームは、以下のWebサイトから自身のコピーの更新版をダウンロードします。
- http://{BLOCKED}e.com/dl/133427805/4e64adb/b1.dat
- http://{BLOCKED}7.hotfile.com/get/5734caeab7c19f1f61af2c2efbaa844650c3a74f/4eaa2a70/2/4e0c5cda66f98382/7f3f25d/b1.dat
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://api.wipmania.com/