WORM_QAKBOT.SMUX

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。

ワームは、Internet Explorer（IE）のゾーン設定を変更します。

ワームは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

侵入方法

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ワームは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\Microsoft\{random folder name}\{random file name}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

ワームは、以下のコンポーネントファイルを作成します。

• %Application Data%\Microsoft\{random folder}\{random file name}.dll - encrypted component
• %Application Data%\Microsoft\{random folder}\{random file name}32.dll - encrypted configuration file
• %Application Data%\Microsoft\{random file name}.wpl - Javascript component detected as JS_QAKBOT.SM1
• %Windows%\Tasks\{GUID 2}.job (for Windows XP and below) - executes the Javascript component
  %System%\Tasks\{GUID 2} (for Windows Vista and above) - executes the Javascript component
• %Windows%\Tasks\{GUID 1}.job (for Windows XP and below) - executes the dropped copy
  %System%\Tasks\{GUID 1} (for Windows Vista and above) - executes the dropped copy

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

ワームは、以下のフォルダを作成します。

• %Application Data%\Microsoft\{random folder}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

ワームは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random key}
ImagePath = "%Application Data%\Microsoft\{random folder}\{random file name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random key}
DisplayName = "Remote Procedure Call (RPC) Service"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%Application Data%\{random folder name}\{random filename}.exe"

ワームは、Windows起動時に自動実行されるよう＜スタートアップ＞フォルダ内に以下のファイルを作成します。

• {random filename}.lnk

感染活動

ワームは、以下のドライブ内に自身のコピーを作成します。

• ADMIN$
• C$

ワームは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。

• 123
• password
• Password
• letmein
• 1234
• 12345
• 123456
• 1234567
• 12345678
• 123456789
• 1234567890
• qwerty
• love
• iloveyou
• princess
• pussy
• master
• monkey
• abc123
• 99999999
• 9999999
• 999999
• 99999
• 9999
• 999
• 99
• 9
• 88888888
• 8888888
• 888888
• 88888
• 8888
• 888
• 88
• 8
• 77777777
• 7777777
• 777777
• 77777
• 7777
• 777
• 77
• 7
• 66666666
• 6666666
• 666666
• 66666
• 6666
• 666
• 66
• 6
• 55555555
• 5555555
• 555555
• 55555
• 5555
• 555
• 55
• 5
• 44444444
• 4444444
• 444444
• 44444
• 4444
• 444
• 44
• 4
• 33333333
• 3333333
• 333333
• 33333
• 3333
• 333
• 33
• 3
• 22222222
• 2222222
• 222222
• 22222
• 2222
• 222
• 22
• 2
• 11111111
• 1111111
• 111111
• 11111
• 1111
• 111
• 11
• 1
• 00000000
• 0000000
• 00000
• 0000
• 000
• 00
• 0987654321
• 987654321
• 87654321
• 7654321
• 654321
• 54321
• 4321
• 321
• 21
• 12
• super
• secret
• server
• computer
• owner
• backup
• database
• lotus
• oracle
• business
• manager
• temporary
• ihavenopass
• nothing
• nopassword
• nopass
• Internet
• internet
• example
• sample
• love123
• boss123
• work123
• home123
• mypc123
• temp123
• test123
• qwe123
• pw123
• root123
• pass123
• pass12
• pass1
• admin123
• admin12
• admin1
• password123
• password12
• password1
• default
• foobar
• foofoo
• temptemp
• temp
• testtest
• test
• rootroot
• root
• fuck
• zzzzz
• zzzz
• zzz
• xxxxx
• xxxx
• xxx
• qqqqq
• qqqq
• qqq
• aaaaa
• aaaa
• aaa
• sql
• file
• web
• foo
• job
• home
• work
• intranet
• controller
• killer
• games
• private
• market
• coffee
• cookie
• forever
• freedom
• student
• account
• academia
• files
• windows
• monitor
• unknown
• anything
• letitbe
• domain
• access
• money
• campus
• explorer
• exchange
• customer
• cluster
• nobody
• codeword
• codename
• changeme
• desktop
• security
• secure
• public
• system
• shadow
• office
• supervisor
• superuser
• share
• adminadmin
• mypassword
• mypass
• pass
• Login
• login
• passwd
• zxcvbn
• zxcvb
• zxccxz
• zxcxz
• qazwsxedc
• qazwsx
• q1w2e3
• qweasdzxc
• asdfgh
• asdzxc
• asddsa
• asdsa
• qweasd
• qweewq
• qwewq
• nimda
• administrator
• Admin
• admin
• a1b2c3
• 1q2w3e
• 1234qwer
• 1234abcd
• 123asd
• 123qwe
• 123abc
• 123321
• 12321
• 123123
• James
• John
• Robert
• Michael
• William
• David
• Richard
• Charles
• Joseph
• Thomas
• Christopher
• Daniel
• Paul
• Mark
• Donald
• George
• Kenneth
• Steven
• Edward
• Brian
• Ronald
• Anthony
• Kevin
• Mary
• Patricia
• Linda
• Barbara
• Elizabeth
• Jennifer
• Maria
• Susan
• Margaret
• Dorothy
• Lisa
• Nancy
• Karen
• Betty
• Helen
• Sandra
• Donna
• Carol
• james
• john
• robert
• michael
• william
• david
• richard
• charles
• joseph
• thomas
• christopher
• daniel
• paul
• mark
• donald
• george
• kenneth
• steven
• edward
• brian
• ronald
• anthony
• kevin
• mary
• patricia
• linda
• barbara
• elizabeth
• jennifer
• maria
• susan
• margaret
• dorothy
• lisa
• nancy
• karen
• betty
• helen
• sandra
• donna
• carol
• baseball
• dragon
• football
• mustang
• superman
• 696969
• batman
• trustno1

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute component files
• Download configuration and updates
• Download updated copy of itself
• Uninstall itself
• Kill processes
• Upload files containing stolen information
• Perform FTP functionalities

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

• http://xepqmqyotmchidz.info
• http://merqldlbgpybywie.com
• http://mtfaxqlorg.com
• http://ogbovdlqptrbwisevvzh.biz
• http://azcmbdagdfzcjzwmv.org
• http://gidqkwagicevwiclwatmmlso.biz
• http://{all domains above}/Ql9MKhSlCyQRnkHASGAttd.php

プロセスの終了

ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msdev.exe
• dbgview.exe
• ollydbg.exe
• ctfmon.exe
• Proxifier.exe

Webブラウザのホームページおよび検索ページの変更

ワームは、IEのゾーン設定を変更します。

情報漏えい

ワームは、以下の情報を収集します。

• GeoIP locations
• Browser cookies
• Flash cookies
• System information
  • IP Address
  • DNS Name
  • Hostname
  • User Name
  • Domain
  • User Privilege
  • OS version
  • Network Interfaces (address, netmask and status)
• Software installed
• FTP, POP3, IMAP, SMTP, HTTPMail, NNTP Passwords
• Outlook login credentials
• Private keys from system certificates
• Login credentials for certain websites
• Internet sessions

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• www.ip-adress.com

ワームは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

• siteadvisor.com
• avgthreatlabs.com
• safeweb.norton.com