WORM_OTORUN.HKZ

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、すべてのドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Program Files%\Common Files\Microsoft Shared\explorer.exe

(註：%Program Files%は、標準設定では "C:\Program Files" です。)

ワームは、以下のファイルを作成します。

• %Favorites%\&çÍ·×ÍøÖ·µ¼º½&.url
• %Program Files%\Common Files\uiui8.dll
• %System Root%\Documents and Settings\All Users\Desktop\¸Ä±äÄãµÄÒ»Éú.url
• %System Root%\Documents and Settings\All Users\Desktop\Ãâ·ÑµçÓ°C.url
• %System Root%\Documents and Settings\All Users\Desktop\Intennet Exploner.lnk
• %System Root%\Documents and Settings\All Users\Desktop\ÌÔ±¦¹ºÎïA.url

(註：%Program Files%は、標準設定では "C:\Program Files" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\MFILES\winlogon.exe

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のフォルダを作成します。

• %System Root%\MFILES

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ワームは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

• %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\1681.lnk

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

他のシステム変更

ワームは、以下のファイルを削除します。

• %System%\drivers\etc\hosts

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{Application Name}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\StorageDevicePolicies

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\ClassicStartMenu
{871C5380-42A0-1069-A2EA-08002B30309D} = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
HideDesktopIcons\NewStartPanel
{871C5380-42A0-1069-A2EA-08002B30309D} = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
ModRiskFileTypes = ".exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
exefile
NeverShowExt = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{Application Name}
Debugger = "ntsd -d"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\StorageDevicePolicies
WriteProtect = "0"

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

感染活動

ワームは、すべてのドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

その他

ワームは、以下のレジストリキーを追加し、セーフモードでの起動を無効にします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

ワームは、レジストリキー「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\{Application Name}」を追加する前に、「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options」下にある全てのレジストリキーを削除します。

{Application Name}は、以下のいずれかです。

• 360Safe.exe
• 360rp.exe
• 360rpt.exe
• 360safebox.exe
• 360sd.exe
• 360tray.exe
• 799d.exe
• AST.exe
• AgentSvr.exe
• AntiU.exe
• AoYun.exe
• AppSvc32.exe
• ArSwp.exe
• ArSwp2.exe
• ArSwp3.exe
• AutoRun.exe
• AvMonitor.exe
• AvU3Launcher.exe
• AvastU3.exe
• CCenter.exe
• DSMain.exe
• Discovery.exe
• EGHOST.exe
• FTCleanerShell.exe
• FYFireWall.exe
• FileDsty.exe
• HijackThis.exe
• IceSword.exe
• Iparmor.exe
• KASMain.exe
• KASTask.exe
• KAV32.exe
• KAVDX.exe
• KAVPF.exe
• KAVPFW.exe
• KAVSetup.exe
• KISLnchr.exe
• KMFilter.exe
• KMailMon.exe
• KPFW32.exe
• KPFW32X.exe
• KPfwSvc.exe
• KRegEx.exe
• KRepair.com
• KVCenter.kxp
• KVMonXP.kxp
• KVMonXP_1.kxp
• KVScan.kxp
• KVSrvXP.exe
• KVStub.kxp
• KWatch.exe
• KWatch9x.exe
• KWatchX.exe
• KaScrScn.SCR
• KsLoader.exe
• KvDetect.exe
• KvReport.kxp
• KvXP.kxp
• KvXP_1.kxp
• KvfwMcl.exe
• MagicSet.exe
• NAVSetup.exe
• NPFMntor.exe
• Navapsvc.exe
• Navapw32.exe
• PFW.exe
• PFWLiveUpdate.exe
• QHSET.exe
• QQDoctor.exe
• QQDoctorMain.exe
• QQDoctorRtp.exe
• QQKav.exe
• QQSC.exe
• Ras.exe
• Rav.exe
• RavMon.exe
• RavMonD.exe
• RavStub.exe
• RavTask.exe
• RegClean.exe
• RsAgent.exe
• RsTray.exe
• Rsaupd.exe
• SDGames.exe
• SREng.EXE
• SREngPS.EXE
• ScanFrm.exe
• ScanU3.exe
• SelfUpdate.exe
• SmartUp.exe
• SysSafe.exe
• TNT.Exe
• TrojDie.kxp
• TrojanDetector.exe
• Trojanwall.exe
• TxoMoU.Exe
• UFO.exe
• UIHost.exe
• USBCleaner.exe
• UmxAgent.exe
• UmxAttachment.exe
• UmxCfg.exe
• UmxFwHlp.exe
• UmxPol.exe
• UpLive.exe
• WoptiClean.exe
• Wsyscheck.exe
• XDelBox.exe
• XP.exe
• adam.exe
• appdllman.exe
• auto.exe
• autoruns.exe
• av.exe
• avconsol.exe
• avgrssvc.exe
• avp.com
• avp.exe
• ccSvcHst.exe
• cross.exe
• filmst.exe
• ghost.exe
• guangd.exe
• iparmo.exe
• irsetup.exe
• isPwdSvc.exe
• jisu.exe
• kabaload.exe
• kavstart.exe
• kernelwind32.exe
• kissvc.exe
• kvol.exe
• kvolself.exe
• kvupload.exe
• kvwsc.exe
• loaddll.exe
• logogo.exe
• mcconsol.exe
• mmqczj.exe
• mmsk.exe
• niu.exe
• nod32.exe
• nod32krn.exe
• nod32kui.exe
• pagefile.exe
• pagefile.pif
• pfserver.exe
• qheart.exe
• qsetup.exe
• ravcopy.exe
• rfwProxy.exe
• rfwcfg.exe
• rfwmain.exe
• rfwsrv.exe
• rsnetsvr.exe
• rstrui.exe
• runiep.exe
• safeboxTray.exe
• safelive.exe
• scan32.exe
• servet.exe
• shcfg32.exe
• sos.exe
• stormii.exe
• sxgame.exe
• symlcsvc.exe
• tmp.exe
• upiea.exe
• vsstat.exe
• wbapp.exe
• webscanx.exe
• zhudongfangyu.exe
• zjb.exe
• zxsweep.exe
• ~.exe
• ~.exe