WORM_PHORPIEX.SC
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %WINDOWS%\M-505044051024025020107840\winmgr.exe
ワームは、以下のフォルダを作成します。
- %WINDOWS%\M-505044051024025020107840
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"
他のシステム変更
ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
"%WINDOWS%\M-505044051024025020107840\winmgr.exe" = "%WINDOWS%\M-505044051024025020107840\winmgr.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- Private.exe
- Movies.exe
- Pictures.exe
- Secret.exe
- Documents.exe
- Music.exe
- winmgr.exe
- 505050.exe
- windrv.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
{garbage strings}
[autorun]
{garbage strings}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage strings}
action=Open folder to view files
{garbage strings}
shellexecute=windrv.exe
{garbage strings}
UseAutoPlay=1
{garbage strings}
その他
ワームは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}0.ru
- {BLOCKED}0.ru
- {BLOCKED}0.ru
- {BLOCKED}0.ru
ただし、情報公開日現在、このWebサイトにはアクセスできません。