解析者: Sabrina Lei Sioting   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、ワームは自身を検出されることなく不正活動を実行することが可能になります。 ワームは、特定のレジストリ値を変更します。これにより、感染コンピュータにWindows XPが搭載されている場合、「Service Pack 2」 の自動更新が無効になります。 ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

  詳細

ファイルサイズ 519,680 bytes
タイプ EXE
メモリ常駐 はい
発見日 2007年7月3日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\ntvdm.exe

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000
Service = "NTVDM."

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.
ImagePath = "%Windows%\ntvdm.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.
DisplayName = "NTVDM."

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %Windows%\ntvdm.exe"

(註:変更前の上記レジストリ値は、「"Explorer.exe"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
SFCDisable = "{hex}"

(註:変更前の上記レジストリ値は、「0」となります。)

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_NTVDM.\
0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NTVDM.

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Enterprise Security Manager = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Intruder Alert = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
LiveAdvisor = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
LiveUpdate = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton AntiVirus Product Updates = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton AntiVirus Virus Definitions = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton CleanSweep = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Commander = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Internet Security = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton SystemWorks = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Norton Utilities = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
PC Handyman and HealthyPC = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
pcANYWHERE = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Rescue Disk = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Symantec Desktop Firewall = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Symantec Gateway Security IDS = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
SymEvent = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
Ghost = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin
NetRecon = "1"

ワームは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
LiveUpdate Admin

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Ole
EnableDCOM = "N"

(註:変更前の上記レジストリ値は、「Y」となります。)

ワームは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

ワームは、以下のレジストリ値を変更します。これにより、感染コンピュータにWindows XPが搭載されている場合、Service Pack 2の自動更新が無効になります。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate
DoNotAllowXPSP2 = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Policies\System
DisableTaskMgr = "1"

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Policies\System
DisableRegistryTools = "1"

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\WindowsFirewall\StandardProfile
EnableFirewall = "0"