WORM_ESFURY.SMC

ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、ワームは自身を検出されることなく不正活動を実行することが可能になります。 ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

侵入方法

ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\{random characters}\winlogon.exe
• %Start Menu%\Fax y Escáner de Windows.exe
• %Start Menu%\Programs\Internet Explorer.exe
• %User Startup%\Windows Anytime Upgrade.exe - part of autostart technique
• %All Users Profile%\Start Menu\Windows DVD Maker.exe
• %All Users Profile%\Start Menu\Programs\Windows Media Center.exe
• %All Users Profile%\Start Menu\Programs\Startup\Windows Update.exe - part of autostart technique
• %User Temp%\{random characters}\FOTOS\{Random Picture File Name}.jpg.pif
• %User Temp%\{random characters}\JUEGOS\{Random Game File Name}.com
• %User Temp%\{random characters}\LIBROS\{Random Book File Name}.doc.pif
• %User Temp%\{random characters}\MUSICA\{Random Music File Name}.mp3.pif
• %User Temp%\{random characters}\PELICULAS\{Random Movie File Name}.avi.pif
• %User Temp%\{random characters}\PROGRAMAS\{Random Program File Name}.exe

ワームは、以下のフォルダを作成します。

• %User Profile%\{random characters}
• %User Temp%\{random characters} - network shared folder
• %User Temp%\{random characters}\FOTOS - network shared folder
• %User Temp%\{random characters}\JEUGOS - network shared folder
• %User Temp%\{random characters}\MUSICA - network shared folder
• %User Temp%\{random characters}\PELICULAS - network shared folder
• %User Temp%\{random characters}\PROGRAMAS - network shared folder
• %User Temp%\{random characters}\LIBROS - network shared folder

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\{random characters}\winlogon.exe"

ワームは、特定のアプリケーションの起動時に自身が自動実行されるよう、「Image File Execution Options」キーを用いて以下のレジストリキーおよびレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
.exe
Debugger = ""%User Profile%\{random characters}\winlogon.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random application name}.exe
Debugger = ""%User Profile%\{random characters}\winlogon.exe""

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
HideSCAHealth = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFile = 1

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Default_Search_URL = "http://{random characters}.directorio-w.com"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Default_Page_URL = "http://{random characters}.directorio-w.com"

HKEY_CURRENT_USER\Software\Microsoft\
Windows Script Host\Settings
Enabled = 0

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows Script Host\Settings
Enabled = 0

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Local Page = "http://{random characters}.directorio-w.com"

(註：変更前の上記レジストリ値は、「set by the user」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://{random characters}.directorio-w.com"

(註：変更前の上記レジストリ値は、「set by the user」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Search Page = "http://{random characters}.directorio-w.com"

(註：変更前の上記レジストリ値は、「set by the user」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 3

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註：変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(註：変更前の上記レジストリ値は、「0」となります。)

ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = 0

ワームは、以下のレジストリキーを削除します。

HKEY_CLASSES_ROOT\lnkfile
IsShortcut = ""

HKEY_CLASSES_ROOT\piffile
IsShortcut = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
lnkfile
IsShortcut = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
piffile
IsShortcut = ""

その他

ワームは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}s.amung.us/swidget/{random characters}
• htttp://{BLOCKED}s.amung.us/small/00/25.png