WORM_DOWNAD.ANM
Worm:Win32/Conficker.B(Micrososft), W32.Downadup.B(Norton), Win32.Worm.Downadup.Gen(Bitdefender), Win32/Conficker.X(ESET)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、特定のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。
- %System%\{Random Filename}.dll
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
DisplayName = "Manager Support"
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Type = "32"
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Start = "2"
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ErrorControl = "0"
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ObjectName = "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Description = "Monitors system security settings and configurations."
HKLM\SYSTEM\CurrentControlSet\
Services\{Random}\Parameters
ServiceDll = "%System%\{Random Filename}.dll"
他のシステム変更
ワームは、以下のレジストリキーを変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"
(註:変更前の上記レジストリ値は、「"3"」となります。)
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(註:変更前の上記レジストリ値は、「"User Default"」となります。)
ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
3739:TCP = "3739:TCP:*:Enabled:mdqkva"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {Drive Letter}:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Drive Letter}:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\{Random Filename}.{Random Extension}
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
{Garbage Character}
[{Garbage Character}AUTorUN
{Garbage Character}
AcTION
{Garbage Character}
Open folder to view files
{Garbage Character}
%syStEmrOot%\sySTEM32\sHELL32.Dll
{Garbage Character}
shelLExECUte
{Garbage Character}
=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\{Random Filename}.{Random Extension},{Random Value}
{Garbage Character}
useAuTopLAY{Garbage Character}={Garbage Character}1
{Garbage Character}
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://www.whatsmyipaddress.com
- http://www.whatismyip.org
- http://www.getmyip.org
- http://checkip.dyndns.org
ワームは、以下の不正なWebサイトにアクセスします。
- http://{Resolve IP Address}/search?q={Number}
ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。
- w3.org
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
ワームは、以下のWebサイトにDNSリクエストを実行します。
- {Pseudorandom Characters}.ws
- {Pseudorandom Characters}.info
- {Pseudorandom Characters}.cn
- {Pseudorandom Characters}.cc
- {Pseudorandom Characters}.com
- {Pseudorandom Characters}.org
- {Pseudorandom Characters}.biz
- {Pseudorandom Characters}.net
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「WORM_DOWNAD.ANM」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください