WORM_QBOT.JBR

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のコンポーネントファイルを作成します。

• %Application Data%\Microsoft\{random}\{random}.dll

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\Microsoft\{random}\{random}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ワームは、以下のフォルダを作成します。

• %Application Data%\Microsoft\{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\Microsoft\{random}\{random}.exe"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = "%Application Data%\Microsoft\{random}\{random}.exe /c {path and file name of legitimate application}"

(註：変更前の上記レジストリ値は、「"{path and file name of legitimate application}"」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {random filename}.{random extension}

ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。

• {random filename}.{random extension}

その他

ワームは、以下の不正なWebサイトにアクセスします。

• zoas.{BLOCKED}v.ua
• olaum.{BLOCKED}v.ua
• {BLOCKED}cn.org
• {BLOCKED}nz.net
• {BLOCKED}mausj.org
• {BLOCKED}tkrich.net
• {BLOCKED}carusled.org