WORM_PHER
Nirava
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
詳細
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\mcmst\{malware name}.exe
- %Program Files%\{malware name}.exe
(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
ワームは、以下のフォルダを作成します。
- %Program Files%\mcmst
(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware name}.exe = "%Program Files%\mcmst\{malware name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware name}.exe = "%Program Files%\{malware name}.exe"
他のシステム変更
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\mcmst
date = "{date of execution}"
HKEY_LOCAL_MACHINE\SOFTWARE\sink
inchk = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\sink
"" =
HKEY_LOCAL_MACHINE\SOFTWARE\sink
inchkter = "1"
HKEY_LOCAL_MACHINE\SOFTWARE
inchk = "1"
HKEY_LOCAL_MACHINE\SOFTWARE
date = "{date executed}"
ワームは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\mcmst
HKEY_LOCAL_MACHINE\SOFTWARE\sink
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}r.com/
- http://www.{BLOCKED}r.com/
- http://{BLOCKED}buri.kr/ver/pver.php