WORM_PHORPIEX.VTS
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、レジストリ値を変更し、Windowsのファイアウォールを無効にします。これにより、ワームは、自身を検出されることなく不正活動を実行することが可能になります。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のフォルダを追加します。
- %User Profile%\M-{random numbers}
- %Windows%\M-{random numbers}
- %User Temp%\{random characters}.tmp
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\M-{random numbers}\winmgr.exe
- %User Profile%\M-{random numbers}\winmgr.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%Windows%\M-{random numbers}\winmgr.exe" or "%User Profile%\M-{random numbers}\winmgr.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Microsoft Windows Manager = "%Windows%\M-{random numbers}\winmgr.exe" or "%User Profile%\M-{random numbers}\winmgr.exe"
他のシステム変更
ワームは、以下のレジストリ値を変更し、Windowsのファイアウォールを無効にします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\M-{random numbers}\winmgr.exe or %User Profile%\M-{random numbers}\winmgr.exe = "%Windows%\M-{random numbers}\winmgr.exe:*:Enabled:Microsoft Windows Manager" or "%User Profile%\M-{random numbers}\winmgr.exe:*:Enabled:Microsoft Windows Manager"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}:\DeviceConfigManager.exe
- {drive letter}:\DeviceConfigManager.vbs
- {drive letter}:\autorun.inf
- {drive letter}:\Recycle.Bin
- {drive letter}:\README.txt.scr
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
{garbage}
[autorun]
{garbage}
icon=%SystemRoot%\system32\SHELL32.dll,4
{garbage}
action=Open folder to view files
{garbage}
open=wscript.exe DeviceConfigManager.vbs
{garbage}
UseAutoPlay=1
{garbage}
その他
ワームは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}0.{BLOCKED}1.87.80
- {BLOCKED}ihgiaheih.ru
- {BLOCKED}sohgsri.ru
- {BLOCKED}ohuanoen.ru
- {BLOCKED}ebfkiurufiu.ru
- {BLOCKED}nfoaenonae.ru
- {BLOCKED}oauco.ru
- {BLOCKED}hhoaedu.ru
- {BLOCKED}hkiabfu.ru
- {BLOCKED}uzfz.ru
- {BLOCKED}enajnciba.ru
- {BLOCKED}nkjbknycbk.ru
- {BLOCKED}iihhigis.ru
- {BLOCKED}nkjaneubk.ru
- {BLOCKED}kjuafuuak.ru
- {BLOCKED}auahuuuab.ru
- {BLOCKED}eouaec.ru
- {BLOCKED}ouea.ru
- {BLOCKED}ebuaeik.ru
- {BLOCKED}ieuhae.ru
- {BLOCKED}jeoacnb.ru
- {BLOCKED}gubcnns.ru
- {BLOCKED}ucunuancne.ru
- {BLOCKED}nwuxsfaf.ru
- {BLOCKED}byihiusjjf.ru
- {BLOCKED}uebiubk.ru
- {BLOCKED}ufiisi.ru
- {BLOCKED}acnuaef.ru
- {BLOCKED}xiybkybdcbb.ru
- {BLOCKED}uneouabkuon.ru
- {BLOCKED}ueunenuf.ru
- {BLOCKED}uaeencune.ru
- {BLOCKED}srsohgsri.su
- {BLOCKED}eohuanoen.su
- {BLOCKED}bfkiurufiu.su
- {BLOCKED}anfoaenonae.su
- {BLOCKED}foauco.su
- {BLOCKED}udhhoaedu.su
- {BLOCKED}hkiabfu.su
- {BLOCKED}uuzfz.su
- {BLOCKED}ajnciba.su
- {BLOCKED}jbknycbk.su
- {BLOCKED}hhigis.su
- {BLOCKED}cnkjaneubk.su
- {BLOCKED}kjuafuuak.su
- {BLOCKED}auahuuuab.su
- {BLOCKED}neouaec.su
- {BLOCKED}ncouea.su
- {BLOCKED}auebuaeik.su
- {BLOCKED}hieuhae.su
- {BLOCKED}joajeoacnb.su
- {BLOCKED}gubcnns.su
- {BLOCKED}ucunuancne.su
- {BLOCKED}uxsfaf.su
- {BLOCKED}yihiusjjf.su
- {BLOCKED}iuebiubk.su
- {BLOCKED}fufiisi.su
- {BLOCKED}nacnuaef.su
- {BLOCKED}iybkybdcbb.su
- {BLOCKED}ouabkuon.su
- {BLOCKED}ueunenuf.su
- {BLOCKED}aeencune.su
- {BLOCKED}rsohgsri.net
- {BLOCKED}uanoen.net
- {BLOCKED}fkiurufiu.net
- {BLOCKED}foaenonae.net
- {BLOCKED}hfoauco.net
- {BLOCKED}ahudhhoaedu.net
- {BLOCKED}akbhkiabfu.net
- {BLOCKED}cuuzfz.net
- {BLOCKED}aenajnciba.net
- {BLOCKED}nkjbknycbk.net
- {BLOCKED}ihhigis.net
- {BLOCKED}nkjaneubk.net
- {BLOCKED}kjuafuuak.net
- {BLOCKED}uauahuuuab.net
- {BLOCKED}oaneouaec.net
- {BLOCKED}encouea.net
- {BLOCKED}ebuaeik.net
- {BLOCKED}euhae.net
- {BLOCKED}joajeoacnb.net
- {BLOCKED}rbgubcnns.net
- {BLOCKED}cunuancne.net
- {BLOCKED}xsfaf.net
- {BLOCKED}hiusjjf.net
- {BLOCKED}yiuebiubk.net
- {BLOCKED}fufiisi.net
- {BLOCKED}enacnuaef.net
- {BLOCKED}xiybkybdcbb.net
- {BLOCKED}abkuon.net
- {BLOCKED}nenuf.net
- {BLOCKED}eencune.net
- {BLOCKED}ohgsri.info
- {BLOCKED}ohuanoen.info
- {BLOCKED}fkiurufiu.info
- {BLOCKED}nfoaenonae.info
- {BLOCKED}foauco.info
- {BLOCKED}dhhoaedu.info
- {BLOCKED}kbhkiabfu.info
- {BLOCKED}cuuzfz.info
- {BLOCKED}najnciba.info
- {BLOCKED}jbknycbk.info
- {BLOCKED}eiihhigis.info
- {BLOCKED}cnkjaneubk.info
- {BLOCKED}afuuak.info
- {BLOCKED}auahuuuab.info
- {BLOCKED}hoaneouaec.info
- {BLOCKED}encouea.info
- {BLOCKED}ndauebuaeik.info
- {BLOCKED}ghieuhae.info
- {BLOCKED}ojoajeoacnb.info
- {BLOCKED}bgubcnns.info
- {BLOCKED}ucunuancne.info
- {BLOCKED}wuxsfaf.info
- {BLOCKED}yihiusjjf.info
- {BLOCKED}uebiubk.info
- {BLOCKED}dfufiisi.info
- {BLOCKED}uenacnuaef.info
- {BLOCKED}nxiybkybdcbb.info
- {BLOCKED}ouabkuon.info
- {BLOCKED}eunenuf.info
- {BLOCKED}uaeencune.info
- {BLOCKED}osrsohgsri.org
- {BLOCKED}ohuanoen.org
- {BLOCKED}bfkiurufiu.org
- {BLOCKED}oaenonae.org
- {BLOCKED}hfoauco.org
- {BLOCKED}hoaedu.org
- {BLOCKED}hkiabfu.org
- {BLOCKED}cuuzfz.org
- {BLOCKED}jnciba.org
- {BLOCKED}knycbk.org
- {BLOCKED}ihhigis.org
- {BLOCKED}kjaneubk.org
- {BLOCKED}bkjuafuuak.org
- {BLOCKED}auahuuuab.org
- {BLOCKED}eouaec.org
- {BLOCKED}encouea.org
- {BLOCKED}uebuaeik.org
- {BLOCKED}hieuhae.org
- {BLOCKED}joajeoacnb.org
- {BLOCKED}bgubcnns.org
- {BLOCKED}unuancne.org
- {BLOCKED}nwuxsfaf.org
- {BLOCKED}hiusjjf.org
- {BLOCKED}iuebiubk.org
- {BLOCKED}dfufiisi.org
- {BLOCKED}nacnuaef.org
- {BLOCKED}iybkybdcbb.org
- {BLOCKED}ouabkuon.org
- {BLOCKED}rsohgsri.biz
- {BLOCKED}ohuanoen.biz
- {BLOCKED}bfkiurufiu.biz
- {BLOCKED}nfoaenonae.biz
- {BLOCKED}foauco.biz
- {BLOCKED}hudhhoaedu.biz
- {BLOCKED}bhkiabfu.biz
- {BLOCKED}cuuzfz.biz
- {BLOCKED}ajnciba.biz
- {BLOCKED}kjbknycbk.biz
- {BLOCKED}iihhigis.biz
- {BLOCKED}kjaneubk.biz
- {BLOCKED}juafuuak.biz
- {BLOCKED}uahuuuab.biz
- {BLOCKED}aneouaec.biz
- {BLOCKED}couea.biz
- {BLOCKED}auebuaeik.biz
- {BLOCKED}ghieuhae.biz
- {BLOCKED}ojoajeoacnb.biz
- {BLOCKED}rbgubcnns.biz
- {BLOCKED}fucunuancne.biz
- {BLOCKED}nwuxsfaf.biz
- {BLOCKED}hiusjjf.biz
- {BLOCKED}iuebiubk.biz
- {BLOCKED}ufiisi.biz
- {BLOCKED}nacnuaef.biz
- {BLOCKED}ybkybdcbb.biz
- {BLOCKED}ouabkuon.biz
- {BLOCKED}rsohgsri.com
- {BLOCKED}huanoen.com
- {BLOCKED}fkiurufiu.com
- {BLOCKED}oaenonae.com
- {BLOCKED}oauco.com
- {BLOCKED}hudhhoaedu.com
- {BLOCKED}bhkiabfu.com
- {BLOCKED}cuuzfz.com
- {BLOCKED}enajnciba.com
- {BLOCKED}jbknycbk.com
- {BLOCKED}iihhigis.com
- {BLOCKED}nkjaneubk.com
- {BLOCKED}kjuafuuak.com
- {BLOCKED}auahuuuab.com
- {BLOCKED}neouaec.com
- {BLOCKED}encouea.com
- {BLOCKED}auebuaeik.com
- {BLOCKED}ieuhae.com
- {BLOCKED}oajeoacnb.com
- {BLOCKED}bgubcnns.com
- {BLOCKED}ucunuancne.com
- {BLOCKED}uxsfaf.com
- {BLOCKED}ibyihiusjjf.com
- {BLOCKED}iuebiubk.com
- {BLOCKED}dfufiisi.com
- {BLOCKED}acnuaef.com
- {BLOCKED}iybkybdcbb.com
- {BLOCKED}ouabkuon.com
- {BLOCKED}osrsohgsri.name
- {BLOCKED}oeohuanoen.name
- {BLOCKED}ebfkiurufiu.name
- {BLOCKED}oaenonae.name
- {BLOCKED}hfoauco.name
- {BLOCKED}hhoaedu.name
- {BLOCKED}bhkiabfu.name
- {BLOCKED}ucuuzfz.name
- {BLOCKED}ajnciba.name
- {BLOCKED}kjbknycbk.name
- {BLOCKED}ihhigis.name
- {BLOCKED}ucnkjaneubk.name
- {BLOCKED}kjuafuuak.name
- {BLOCKED}auahuuuab.name
- {BLOCKED}neouaec.name
- {BLOCKED}ncouea.name
- {BLOCKED}auebuaeik.name
- {BLOCKED}ieuhae.name
- {BLOCKED}pojoajeoacnb.name
- {BLOCKED}gubcnns.name
- {BLOCKED}cunuancne.name
- {BLOCKED}wuxsfaf.name
- {BLOCKED}ihiusjjf.name
- {BLOCKED}iuebiubk.name
- {BLOCKED}ufiisi.name
- {BLOCKED}uenacnuaef.name
- {BLOCKED}ybkybdcbb.name
- {BLOCKED}uabkuon.name
- {BLOCKED}eunenuf.name
- {BLOCKED}aeencune.name
- {BLOCKED}srsohgsri.mobi
- {BLOCKED}eohuanoen.mobi
- {BLOCKED}ebfkiurufiu.mobi
- {BLOCKED}nfoaenonae.mobi
- {BLOCKED}oauco.mobi
- {BLOCKED}dhhoaedu.mobi
- {BLOCKED}bhkiabfu.mobi
- {BLOCKED}uzfz.mobi
- {BLOCKED}najnciba.mobi
- {BLOCKED}kjbknycbk.mobi
- {BLOCKED}hhigis.mobi
- {BLOCKED}ucnkjaneubk.mobi
- {BLOCKED}bkjuafuuak.mobi
- {BLOCKED}auauahuuuab.mobi
- {BLOCKED}aneouaec.mobi
- {BLOCKED}uaencouea.mobi
- {BLOCKED}auebuaeik.mobi
- {BLOCKED}hieuhae.mobi
- {BLOCKED}ojoajeoacnb.mobi
- {BLOCKED}gubcnns.mobi
- {BLOCKED}ucunuancne.mobi
- {BLOCKED}xsfaf.mobi
- {BLOCKED}yihiusjjf.mobi
- {BLOCKED}iuebiubk.mobi
- {BLOCKED}fiisi.mobi
- {BLOCKED}uenacnuaef.mobi
- {BLOCKED}nxiybkybdcbb.mobi
- {BLOCKED}uabkuon.mobi
- {BLOCKED}unenuf.mobi
- {BLOCKED}kuaeencune.mobi
- {BLOCKED}ohgsri.ws
- {BLOCKED}huanoen.ws
- {BLOCKED}fkiurufiu.ws
- {BLOCKED}aenonae.ws
- {BLOCKED}hfoauco.ws
- {BLOCKED}hhoaedu.ws
- {BLOCKED}akbhkiabfu.ws
- {BLOCKED}cuuzfz.ws
- {BLOCKED}aenajnciba.ws
- {BLOCKED}nkjbknycbk.ws
- {BLOCKED}hhigis.ws
- {BLOCKED}nkjaneubk.ws
- {BLOCKED}juafuuak.ws
- {BLOCKED}auahuuuab.ws
- {BLOCKED}neouaec.ws
- {BLOCKED}encouea.ws
- {BLOCKED}ndauebuaeik.ws
- {BLOCKED}ghieuhae.ws
- {BLOCKED}oajeoacnb.ws
- {BLOCKED}bgubcnns.ws
- {BLOCKED}efucunuancne.ws
- {BLOCKED}nwuxsfaf.ws
- {BLOCKED}hiusjjf.ws
- {BLOCKED}yiuebiubk.ws
- {BLOCKED}dfufiisi.ws
- {BLOCKED}acnuaef.ws
- {BLOCKED}bkybdcbb.ws
- {BLOCKED}uabkuon.ws
- {BLOCKED}eunenuf.ws
- {BLOCKED}aeencune.ws
ただし、情報公開日現在、このWebサイトにはアクセスできません。