WORM_NEERIS.JWE
VirTool:Win32/Injector.gen!B (Microsoft); BackDoor-DOQ.gen.e (McAfee); Packed.Generic.267 (Symantec); Trojan.Generic.2367796 (FSecure)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワーム マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\dllcache.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
netmon = "%System%\dllcache.exe"
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\system\dllcache.exe = "%Windows%\system\dllcache.exe:*:Microsoft Enabled"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- strongkey-rc1.3-build-208.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
shellexecute=strongkey-rc1.3-build-208.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey-rc1.3-build-208.exe
shell=default
作成活動
ワームは、以下のファイルを作成します。
- %System%\drivers\sysdrv32.sys
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
その他
ワーム は、自身(コンピュータに侵入して最初に自身のコピーを作成した ワーム )を削除します。