WORM_NUQEL.S

ワームは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

ワームは、すべてのドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ユーザのInternet Explorer（IE）のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Windows%\chrome.exe
• %System%\chrome.exe

(註：%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、以下のコンポーネントファイルを作成します。

• %System%\autorun.ini
• %Windows%\Tasks\At1.job

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

ワームは、以下のプロセスを追加します。

• Google Talk
• Yahoo Messenger

ワームは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Yahoo Messengger = "%System%\chrome.exe"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe chrome.exe"

(註：変更前の上記レジストリ値は、「Explorer.exe」となります。)

この「スケジュールされたタスク」により、以下の時間ごとにワームが実行されます。

• 9:00 AM, weekly

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Control Panel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer\Control Panel

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Start Page = "http://h1.ripway.com/mygoogle0/index.html"

(註：変更前の上記レジストリ値は、「{default home page}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Page_URL = "http://h1.ripway.com/mygoogle0/index.html"

(註：変更前の上記レジストリ値は、「{default home page}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Default_Search_URL = "http://h1.ripway.com/mygoogle0/index.html"

(註：変更前の上記レジストリ値は、「{default search page}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Search Page = "http://h1.ripway.com/mygoogle0/index.html"

(註：変更前の上記レジストリ値は、「{default search page}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Start Page = "http://h1.ripway.com/mygoogle0/index.html"

(註：変更前の上記レジストリ値は、「{default home page}」となります。)

ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NofolderOptions = "1"

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Drive Letter}\chrome.exe
• {Drive Letter}\New Folder.exe

ワームは、すべてのドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[Autorun]
Open=chrome.exe
Shellexecute=chrome.exe
Shell\Open\command=chrome.exe
Shell=Open

Webブラウザのホームページおよび検索ページの変更

ワームは、ユーザのIEのスタートページを以下のWebサイトに変更します。

• http://{BLOCKED}1.{BLOCKED}y.com/mygoogle0/index.html

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://www.{BLOCKED}1.{BLOCKED}y.com/sdbo/setting.ini

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

• %System%\setting.ini

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)