WORM_PSYOKYM.SM23
Worm:Win32/Psyokym.A (Microsoft),
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %All Users Profile%\{User Name}.exe
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)
ワームは、以下のファイルを作成します。
- %All Users Profile%\habeys.exe
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
System32 = "%All Users Profile%\{User Name}.exe"
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DownloadManager
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"
(註:変更前の上記レジストリ値は、「{Default}」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "0"
(註:変更前の上記レジストリ値は、「{Default}」となります。)
感染活動
ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。
ワームは、以下のドライブ内に自身のコピーを作成します。
- {Removable Drive Letter}:\Movie.exe
- {Removable Drive Letter}:\Photo.exe
- {Removable Drive Letter}:\{User Name}.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
OPEN={User Name}.exe
EXPLORER={User Name}.exe
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}afushionline.net/habeys.exe
- http://www.{BLOCKED}fushionline.net/extract.php?x=