WORM_FEEBS.KQ

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\msbg.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、以下のフォルダを作成します。

• %System%\drivers\mspq

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{68AD0FD0-A56D-6BFA-01CE-74D30000AFA8}
StubPath = "%System%\msbg.exe"

他のシステム変更

ワームは、以下のファイルを削除します。

• %User Profile%\cookies\index.dat
• %Temporary Internet Files%\content.ie5\09rwhjqn\bottom_left3[1].png
• %Temporary Internet Files%\content.ie5\09rwhjqn\bottom_right3[1].png
• %Temporary Internet Files%\content.ie5\09rwhjqn\box02[1].gif
• %Temporary Internet Files%\content.ie5\09rwhjqn\desktop.ini
• %Temporary Internet Files%\content.ie5\09rwhjqn\top_left3[1].png
• %Temporary Internet Files%\content.ie5\bvlbnmkh\box04[1].gif
• %Temporary Internet Files%\content.ie5\bvlbnmkh\box08[1].gif
• %Temporary Internet Files%\content.ie5\bvlbnmkh\desktop.ini
• %Temporary Internet Files%\content.ie5\bvlbnmkh\header00b[1].gif
• %Temporary Internet Files%\content.ie5\bvlbnmkh\table_bottom3[1].png
• %Temporary Internet Files%\content.ie5\desktop.ini
• %Temporary Internet Files%\content.ie5\index.dat
• %Temporary Internet Files%\content.ie5\zdgznka5\background[1].gif
• %Temporary Internet Files%\content.ie5\zdgznka5\box06[1].gif
• %Temporary Internet Files%\content.ie5\zdgznka5\desktop.ini
• %Temporary Internet Files%\content.ie5\zdgznka5\table_right3[1].png
• %Temporary Internet Files%\content.ie5\zdgznka5\top_right3[1].png
• %Temporary Internet Files%\content.ie5\zsgkjko6\desktop.ini
• %Temporary Internet Files%\content.ie5\zsgkjko6\footer00[1].gif
• %Temporary Internet Files%\content.ie5\zsgkjko6\table_left3[1].png
• %Temporary Internet Files%\content.ie5\zsgkjko6\table_top3[1].png
• %Temporary Internet Files%\desktop.ini
• %User Temp%\58e0ef.mst
• %User Temp%\adobearm.log
• %User Temp%\adobesfx.log
• %User Temp%\aspnetsetup_00000.log
• %User Temp%\aspnetsetup_00001.log
• %User Temp%\aspnetsetup_00002.log

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。. %Temporary Internet Files%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Temporary Internet Files"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Microsoft\Windows\Temporary Internet Files" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、以下のフォルダを削除します。

• %System Root%\d

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW

HKEY_LOCAL_MACHINE\Software\Microsoft\
Active Setup\Installed Components\{68AD0FD0-A56D-6BFA-01CE-74D30000AFA8}

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW\ibak

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW\fdat

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW\dat

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW\rdat

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW\ldat

HKEY_LOCAL_MACHINE\Software\Microsoft\
MSAW\sdat

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
exe = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
fst = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
ver = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
cls = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
dll = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
dir = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
buf = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
pid = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
mti = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
huk = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
port = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
upd = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW
ton = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\ICQ_2007_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\winamp_7_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\3dsmax_10_(3D_Studio_Max)_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\ACDSee_10_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Adobe_Photoshop_11_(CS34)_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Adobe_Premiere_10_(3.0_pro)_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Ahead_Nero_8_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\DivX_8.0_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Internet_Explorer_7_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Kazaa_4_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Microsoft_Office_2006_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\Vista_Final_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\ICQ_2007_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\winamp_7_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
{random string} = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\ACDSee_10_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\Ahead_Nero_8_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\DivX_8.0_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\Internet_Explorer_7_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\Kazaa_4_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\Microsoft_Office_2006_new_full.zip = "{random values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MSAW\sdat
%Program Files%\movie maker\shared\profiles\Vista_Final_new_full.zip = "{random values}"

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\wscsvc
Start = "4"

(註：変更前の上記レジストリ値は、「2」となります。)

作成活動

ワームは、以下のファイルを作成します。

• %System Root%\s.
• %Program Files%\movie maker\shared\ICQ_2007_new_full.zip
• %User Temp%\exe6.tmp
• %User Temp%\exe9.tmp
• %User Temp%\exeC.tmp
• %Program Files%\movie maker\shared\winamp_7_new_full.zip
• %User Temp%\exe10.tmp
• %User Temp%\exe13.tmp
• %User Temp%\exe16.tmp
• %Program Files%\movie maker\shared\3dsmax_10_(3D_Studio_Max)_new_full.zip
• %User Temp%\exe1A.tmp
• %User Temp%\exe1D.tmp
• %User Temp%\exe20.tmp
• %Program Files%\movie maker\shared\ACDSee_10_new_full.zip
• %User Temp%\exe24.tmp
• %User Temp%\exe27.tmp
• %User Temp%\exe2A.tmp
• %Program Files%\movie maker\shared\Adobe_Photoshop_11_(CS34)_new_full.zip
• %User Temp%\exe2E.tmp
• %User Temp%\exe31.tmp
• %User Temp%\exe34.tmp
• %Program Files%\movie maker\shared\Adobe_Premiere_10_(3.0_pro)_new_full.zip
• %User Temp%\exe38.tmp
• %User Temp%\exe3B.tmp
• %User Temp%\exe3E.tmp
• %Program Files%\movie maker\shared\Ahead_Nero_8_new_full.zip
• %User Temp%\exe42.tmp
• %User Temp%\exe45.tmp
• %User Temp%\exe48.tmp
• %Program Files%\movie maker\shared\DivX_8.0_new_full.zip
• %User Temp%\exe4C.tmp
• %User Temp%\exe4F.tmp
• %User Temp%\exe52.tmp
• %Program Files%\movie maker\shared\Internet_Explorer_7_new_full.zip
• %User Temp%\exe56.tmp
• %User Temp%\exe59.tmp
• %User Temp%\exe5C.tmp
• %Program Files%\movie maker\shared\Kazaa_4_new_full.zip
• %User Temp%\exe60.tmp
• %User Temp%\exe63.tmp
• %User Temp%\exe66.tmp
• %Program Files%\movie maker\shared\Microsoft_Office_2006_new_full.zip
• %User Temp%\exe6A.tmp
• %User Temp%\exe6D.tmp
• %User Temp%\exe70.tmp
• %Program Files%\movie maker\shared\Vista_Final_new_full.zip
• %User Temp%\exe74.tmp
• %User Temp%\exe77.tmp
• %User Temp%\exe7A.tmp
• %Program Files%\movie maker\shared\profiles\ICQ_2007_new_full.zip
• %User Temp%\exe7E.tmp
• %User Temp%\exe81.tmp
• %User Temp%\exe84.tmp
• %Program Files%\movie maker\shared\profiles\winamp_7_new_full.zip
• %User Temp%\exe88.tmp
• %User Temp%\exe8B.tmp
• %User Temp%\exe8E.tmp
• %Program Files%\movie maker\shared\profiles\3dsmax_10_(3D_Studio_Max)_new_full.zip
• %User Temp%\exe91.tmp
• %User Temp%\exe94.tmp
• %User Temp%\exe97.tmp
• %Program Files%\movie maker\shared\profiles\ACDSee_10_new_full.zip
• %User Temp%\exe9B.tmp
• %User Temp%\exe9E.tmp
• %User Temp%\exeA1.tmp
• %Program Files%\movie maker\shared\profiles\Adobe_Photoshop_11_(CS34)_new_full.zip
• %User Temp%\exeA5.tmp
• %User Temp%\exeA8.tmp
• %User Temp%\exeAB.tmp
• %Program Files%\movie maker\shared\profiles\Adobe_Premiere_10_(3.0_pro)_new_full.zip
• %User Temp%\exeAF.tmp
• %User Temp%\exeB2.tmp
• %User Temp%\exeB5.tmp
• %Program Files%\movie maker\shared\profiles\Ahead_Nero_8_new_full.zip
• %User Temp%\exeB9.tmp
• %User Temp%\exeBC.tmp
• %User Temp%\exeBF.tmp
• %Program Files%\movie maker\shared\profiles\DivX_8.0_new_full.zip
• %User Temp%\exeC3.tmp
• %User Temp%\exeC6.tmp
• %User Temp%\exeC9.tmp
• %Program Files%\movie maker\shared\profiles\Internet_Explorer_7_new_full.zip
• %User Temp%\exeCD.tmp
• %User Temp%\exeD0.tmp
• %User Temp%\exeD3.tmp
• %Program Files%\movie maker\shared\profiles\Kazaa_4_new_full.zip
• %User Temp%\exeD7.tmp
• %User Temp%\exeDA.tmp
• %User Temp%\exeDD.tmp
• %Program Files%\movie maker\shared\profiles\Microsoft_Office_2006_new_full.zip
• %User Temp%\exeE1.tmp
• %User Temp%\exeE4.tmp
• %User Temp%\exeE7.tmp
• %Program Files%\movie maker\shared\profiles\Vista_Final_new_full.zip
• %User Temp%\exeEB.tmp
• %User Temp%\exeEE.tmp
• %User Temp%\exeF1.tmp
• %System%\mswj32.dll

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

その他

ワームは、以下の不正なWebサイトにアクセスします。

• http://milla6814.{BLOCKED}5.com/3.jpg
• http://milla6814.{BLOCKED}m.ru/3.jpg
• http://milla6814.{BLOCKED}stia.com/3.jpg
• http://milla6814.{BLOCKED}c.info/3.jpg
• http://milla6814.{BLOCKED}y.ru/3.jpg
• http://milla6814.{BLOCKED}l.bz/3.jpg
• http://milla6814.{BLOCKED}b.com/3.jpg
• http://milla6814.{BLOCKED}et.com/3.jpg

このウイルス情報は、自動解析システムにより作成されました。