解析者: Kathleen Notario   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。 ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 522,752 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年11月22日

侵入方法

ワームは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • %User Profile%\Application Data\SystemProc\lsass.exe

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\HPWuSchde.exe

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
HP Software Updater v1.0 = %System%\HPWuSchde.exe

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
hk1 = {month of execution}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
hk2 = {day of execution}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\FirewallPolicy\
StandardProfile\AuthorizedApplications\List
%System%\HPWuSchde.exe = %System%\HPWuSchde.exe:*:Enabled:Explorer

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\HP10

HKEY_LOCAL_MACHINE\SOFTWARE\HP10

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {drive letter}:\RECYCLER
  • {drive letter}:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
open=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
shell\open\default=1

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://{BLOCKED}myip.com/automation/n09230945.asp

関連マルウェア