WORM_DOWNAD.FT
Worm:Win32/Conficker.C (Microsoft); Trojan.Win32.Genome.qogm; W32.Downadup.B (Symantec)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{random filename}.dll
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random strings} = rundll32.exe %System%\{random filename}.dll
他のシステム変更
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random}:TCP = "{random}:TCP:*:Enabled:{random letters}"
ワームは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "1"
(註:変更前の上記レジストリ値は、「"0"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"
(註:変更前の上記レジストリ値は、「"2"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "1"
(註:変更前の上記レジストリ値は、「"0"」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "3"
(註:変更前の上記レジストリ値は、「"4"」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "2"
(註:変更前の上記レジストリ値は、「"4"」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "2"
(註:変更前の上記レジストリ値は、「"4"」となります。)
感染活動
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
その他
ワームが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。