WORM_DORKBOT.XZD

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、実行後、自身を削除します。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\c731200
• %Application Data%\c731200
• %User Temp%\Adobe\Reader_sl.exe
• %Application Data%\Identities\{random filename}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Adobe System Incorporated = "%User Temp%\Adobe\Reader_sl.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename} = %Application Data%\Identities\{random filename}.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {removable drive letter}:\{random characters}.exe

ダウンロード活動

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

• %Application Data%\{random characters}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

その他

ワームは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}eyyy2.com
• {BLOCKED}.{BLOCKED}eyyy3.com
• {BLOCKED}.{BLOCKED}eyyy4.com
• {BLOCKED}.{BLOCKED}0.com
• {BLOCKED}.{BLOCKED}000.com
• {BLOCKED}.{BLOCKED}1egalaxyblack42.com
• {BLOCKED}.{BLOCKED}2egalaxyblack42.com
• {BLOCKED}.{BLOCKED}3egalaxyblack42.com
• {BLOCKED}.{BLOCKED}4egalaxyblack42.com
• {BLOCKED}.{BLOCKED}5egalaxyblack42.com
• {BLOCKED}.{BLOCKED}s1fkxx42.com
• {BLOCKED}.{BLOCKED}s2fkxx42.com
• {BLOCKED}.{BLOCKED}s3fkxx42.com
• {BLOCKED}.{BLOCKED}s4fkxx42.com
• {BLOCKED}.{BLOCKED}s5fkxx42.com
• {BLOCKED}.{BLOCKED}1understandme42.com
• {BLOCKED}.{BLOCKED}2understandme42.com
• {BLOCKED}.{BLOCKED}2understandme42.com
• {BLOCKED}.{BLOCKED}1understandme42.com
• {BLOCKED}.{BLOCKED}2understandme42.com
• {BLOCKED}.{BLOCKED}epadsafa42.com
• {BLOCKED}.{BLOCKED}epadsafa42.com
• {BLOCKED}.{BLOCKED}epadsafa42.com
• {BLOCKED}.{BLOCKED}epadsafa42.com
• {BLOCKED}.{BLOCKED}epadsafa42.com
• {BLOCKED}.{BLOCKED}a1lagroup42.com
• {BLOCKED}.{BLOCKED}a2lagroup42.com
• {BLOCKED}.{BLOCKED}a3lagroup42.com
• {BLOCKED}.{BLOCKED}a4lagroup42.com
• {BLOCKED}.{BLOCKED}a5lagroup42.com
• {BLOCKED}.{BLOCKED}obohayawen42.com
• {BLOCKED}.{BLOCKED}obohayawen42.com
• {BLOCKED}.{BLOCKED}obohayawen42.com
• {BLOCKED}.{BLOCKED}obohayawen42.com
• {BLOCKED}.{BLOCKED}obohayawen42.com
• {BLOCKED}.{BLOCKED}w1ladies42.com
• {BLOCKED}.{BLOCKED}w2ladies42.com
• {BLOCKED}.{BLOCKED}w3ladies42.com
• {BLOCKED}.{BLOCKED}w4ladies42.com
• {BLOCKED}.{BLOCKED}w5ladies42.com
• {BLOCKED}.{BLOCKED}1hasn1aser42.com
• {BLOCKED}.{BLOCKED}2hasn1aser42.com
• {BLOCKED}.{BLOCKED}3hasn1aser42.com
• {BLOCKED}.{BLOCKED}4hasn1aser42.com
• {BLOCKED}.{BLOCKED}5hasn1aser42.com
• {BLOCKED}.{BLOCKED}ll1gonowhaha42.com
• {BLOCKED}.{BLOCKED}ll2gonowhaha42.com
• {BLOCKED}.{BLOCKED}ll3gonowhaha42.com
• {BLOCKED}.{BLOCKED}ll4gonowhaha42.com
• {BLOCKED}.{BLOCKED}ll5gonowhaha42.com

ワームは、実行後、自身を削除します。

その他

マルウェアは、リムーバブルドライブ内のファルダ名およびファイル名を利用して拡張子「LNK」のショートカットファイルを作成します。そして、マルウェアは、オリジナルフォルダおよびファイルの属性を隠しファイル属性とシステムファイル属性に設定し、ユーザが拡張子「LNK」のファイルをクリックするよう誘導します。