解析者: RonJay Kristoffer Caragay   
 別名:

Trojan:Win32/Fakefolder.C (Microsoft); Worm.Win32.FakeFolder.a (Kaspersky); Worm.FakeFolder (VBA32); Trojan.Win32.Fakefolder (Ikarus); W32/FakeFolder.A!worm (Fortinet); Trojan/Win32.FakeFolder (AhnLab-V3); W32/FakeFolder.A (F-Prot)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 55,296 bytes
タイプ EXE
発見日 2014年6月17日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

ワームは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
(Default) = "%Program Files%\system.caca"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\.caca

HKEY_CLASSES_ROOT\cacafile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.caca

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cacafile

ワームは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\.caca
(Default) = "cacafile"

HKEY_CLASSES_ROOT\cacafile\shell\
open\command
(Default) = "%Program Files%\Internet Explorer\WINLOGON.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.caca
(Default) = "cacafile"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cacafile\shell\open\
command
(Default) = "%Program Files%\Internet Explorer\WINLOGON.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {removable drive letter}:\MyDocuments

ワームは、以下のドライブ内に自身のコピーを作成します。

  • {removable drive letter}:\MyDocument.exe

作成活動

ワームは、以下のファイルを作成します。

  • %Program Files%\system.caca
  • %Program Files%\Internet Explorer\WINLOGON.exe
  • {removable drive letter}:\MyDocument\{files and folders in removable drive}

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)