解析者: Dianne Lagrimas   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 共有ネットワークフォルダを介した感染活動, リムーバブルドライブを介した感染活動

これは、複数の「WORM_SILLY」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、ネットワークドライブ内に自身のコピーを作成します。 ワームは、すべてのドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。 ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。

ワームは、自身のSMTPエンジンを用いて特定のメールアドレスに収集した情報を送信します。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, 情報収集

侵入方法

ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\{malware file name}.exe
  • %Windows%\{malware file name}.exe
  • %User Temp%\{malware file name}.exe
  • %Application Data%\Microsoft\{malware-assigned folder name}\{malware file name}.exe
  • %System%\{malware folder name}\{malware file name}.exe
  • %Application Data%\{malware folder name}\{malware file name}.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ワームは、以下のフォルダを作成します。

  • %Application Data%\{malware folder name}
  • %Program Files%\Common Files\{malware folder name}
  • %System%\{malware folder name}
  • %User Temp%\{malware folder name}
  • %Windows%\{malware folder name}

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %Program Files%は、標準設定では "C:\Program Files" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware name} = "{malware path and file name}"

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\{malware name}

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {drive letter}:\RECYCLER

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {malware file name}.exe
  • {drive letter}:\RÈCYCLER\thumbs.db

ワームは、ネットワークドライブ内に自身のコピーを作成します。

ワームは、すべてのドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

バックドア活動

ワームは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。

ワームは、不正リモートユーザからの以下のコマンドを実行します。

  • Act as a SOCKS server
  • Download an updated copy of itself or other malware
  • Enumerate and kill processes
  • Enumerate and kill threads
  • Launch denial of service (DoS) attack
  • Modify HOSTS file
  • Seed files
  • Send messages using MSN, AIM, Triton
  • Sniff network traffic
  • Steal Protected Storage data

情報漏えい

ワームは、ユーザのキー入力操作情報を記録し、情報を収集します。

情報収集

ワームは、自身のSMTPエンジンを用いて特定のメールアドレスに収集した情報を送信します。

その他

これは、複数の「WORM_SILLY」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

ワームが実行するコマンドは、以下のとおりです。

  • SOCKSサーバとして機能する
  • 自身のコピーの更新版または他のマルウェアのダウンロード
  • プロセスの列記および強制終了
  • スレッドの列記および強制終了
  • サービス拒否(DoS)攻撃の実行
  • HOSTSファイルの変更
  • ファイルの削除
  • インスタントメッセンジャ「MSNメッセンジャー」「AOLインスタントメッセンジャー(AIM)」「AIM Triton」を利用したメッセージの送信
  • パケットの監視
  • 「Protected Storage」機能により保存されたデータの収集

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

    1. トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
    2. 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください