解析者: Ardin Christopher Maglalang   
 別名:

Worm/Autoit.ABJA(AVG), Trojan.Win32.Autoit.wt(kaspersky), Worm:Win32/Helompy.A(Microsoft), Win32/Autoit.FL(ESET), W32.Harakit(Norton)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 551,669 bytes
タイプ EXE
発見日 2014年1月28日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • C:\Win\lsass.exe
  • If drive C is not a fixed drive or inaccessible drop in the following.
  • D:\programs\lsass.exe

ワームは、以下のファイルを作成します。

  • C:\Win\names.txt - contains the filename of the file to download.

ワームは、以下のフォルダを作成します。

  • C:\Win
  • If C is not a fixed drive or not accessible create the following folder.
  • D:\programs

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
run32 = "{Malware Path and Filename}"

感染活動

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://peradjoka.{BLOCKED}5.com/{User name}/{File name}.rar
  • http://peradjoka.{BLOCKED}5.com/{Computer name}/{File name}.rar

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報収集

ワームは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://peradjoka.{BLOCKED}5.com/cmd.php?command={Stolen Information}