WORM_PRONNY.JDN
Mal/VB-ALW (Sophos) ,Win32/Pronny.LZ worm (Eset)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- {removable drive letter}:\movies.lnk
- {removable drive letter}:\music.lnk
- {removable drive letter}:\favourites.lnk
- {removable drive letter}:\passwords.lnk
- {removable drive letter}:\pictures.lnk
- {removable drive letter}:\private.lnk
- {removable drive letter}:\search.lnk
- {removable drive letter}:\secret folder.lnk
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\{random foldername}\{random file name}.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name} = "%User Profile%\{random foldername}\{random file name}.exe /{random char}"
他のシステム変更
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}:\i love you.exe
- {drive letter}:\naked.exe
- {drive letter}:\password.exe
- {drive letter}:\sexy.exe
- {drive letter}:\webcam.exe
- {drive letter}:\{random filename}.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
その他
ワームは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.{BLOCKED}.114.0
- {BLOCKED}.{BLOCKED}.117.0
- {BLOCKED}.{BLOCKED}.66.0
- {BLOCKED}.{BLOCKED}.190.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.113.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.138.0
- {BLOCKED}.{BLOCKED}.20.0
- {BLOCKED}.{BLOCKED}.216.0
- {BLOCKED}.{BLOCKED}.72.121
- {BLOCKED}.{BLOCKED}.237.0
- {BLOCKED}.{BLOCKED}.55.0
- {BLOCKED}.{BLOCKED}.222.0
- {BLOCKED}.{BLOCKED}.169.0
- {BLOCKED}.{BLOCKED}.117.0
- {BLOCKED}.{BLOCKED}.116.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.71.0
- {BLOCKED}.{BLOCKED}.149.0
- {BLOCKED}.{BLOCKED}.221.0
- {BLOCKED}.{BLOCKED}.103.0
- {BLOCKED}.{BLOCKED}.32.21
- {BLOCKED}.{BLOCKED}.34.21
- {BLOCKED}.{BLOCKED}.36.21
- {BLOCKED}.{BLOCKED}.38.21
- {BLOCKED}.{BLOCKED}.68.0
- {BLOCKED}.{BLOCKED}.98.0
- {BLOCKED}.{BLOCKED}.168.0
- {BLOCKED}.{BLOCKED}.136.0
- {BLOCKED}.{BLOCKED}.210.0
- {BLOCKED}.{BLOCKED}.58.0
- {BLOCKED}.{BLOCKED}.62.0
- {BLOCKED}.{BLOCKED}.66.0
- {BLOCKED}.{BLOCKED}.67.0
- {BLOCKED}.{BLOCKED}.93.201
- {BLOCKED}.{BLOCKED}.125.0
- {BLOCKED}.{BLOCKED}.100.0
- {BLOCKED}.{BLOCKED}.73.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.0.0
- {BLOCKED}.{BLOCKED}.112.0
- {BLOCKED}.{BLOCKED}.67.100
- {BLOCKED}.{BLOCKED}.34.46
- {BLOCKED}.{BLOCKED}.245.0
- {BLOCKED}.{BLOCKED}.120.0
- {BLOCKED}.{BLOCKED}.41.0
- {BLOCKED}.{BLOCKED}.43.0
- {BLOCKED}.{BLOCKED}.44.0
- {BLOCKED}.{BLOCKED}.183.0
- {BLOCKED}.{BLOCKED}.169.0
- {BLOCKED}.{BLOCKED}.174.0
- {BLOCKED}.{BLOCKED}.197.0
- {BLOCKED].{BLOCKED}.58.0
- {BLOCKED].{BLOCKED}.72.0
- {BLOCKED}.{BLOCKED}.143.0
- {BLOCKED}.{BLOCKED}.166.0
- {BLOCKED}.{BLOCKED}.167.0
- {BLOCKED}.{BLOCKED}.230.0
- {BLOCKED}.{BLOCKED}.13.0
- {BLOCKED}.{BLOCKED}.236.0
- {BLOCKED}.{BLOCKED}.139.0
- {BLOCKED}.{BLOCKED}.196.0
- {BLOCKED}.{BLOCKED}.85.0