解析者: Kathleen Notario   
 別名:

Trojan.Gen (Symantec); Trojan:Win32/Rimecud.A (Microsoft); Trojan.Win32.Inject.bfmc (Kaspersky); W32/Rimecud.gen.br (Mcafee); Mal/Palevo-A (Sophos)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにワームのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。

  詳細

ファイルサイズ 84,480 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年7月14日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Profile%\aegvvp.exe

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

  • svchost.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%User Profile%\aegvvp.exe"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • ultimate

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
USEAUTOPLAY=1
shellexcute=ultimate/window.exe
Shelldisc
shell\Explore\command=ultimate/window.exe
shell\Open\command=ultimate/window.exe
icon=ultimate/window.exe
open=ultimate/window.exe
action=0pen folder to view files using Windows Explorer

ダウンロード活動

ワームは、以下の不正Webサイトにアクセスします。

  • {BLOCKED}na.{BLOCKED}olands.su
  • {BLOCKED}ik.{BLOCKED}-protection.net.ru
  • {BLOCKED}tal.{BLOCKED}owerbord.com
  • {BLOCKED}de.{BLOCKED}usenumber.com
  • {BLOCKED}d.{BLOCKED}tudio.ru