WORM_SOHANAD.OK

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザのInternet Explorer（IE）のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

• %Desktop%\Search.lnk
• %Favorites%\Sioril.lnk
• %Start Menu%\Programs\Startup\Search bar.lnk
• %User Profile%\My Documents\Search bar.lnk
• %Windows%\Tasks\At1.job

(註： %Desktop%フォルダは、Windows 98 および MEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\デスクトップ" です。 Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\デスクトップ"、Windows 2000、XP、Server 2003の場合は "C:\Documents and Settings\＜ユーザ名＞\デスクトップ" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu " です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\chrome9.exe
• %Windows%\chrome9.exe

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Yahoo Messengger = "%System%\chrome9.exe"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe chrome9.exe"

(註：変更前の上記レジストリ値は、「Explorer.exe」となります。)

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Control Panel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer\Control Panel

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
RunOnceComplete = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
RunOnceHasShown = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Search Assistant
DefaultSearchURL = "http://www.sioril.co.uk/index.php?page=search/web&search="

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Control Panel
HomePage = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
RunOnceComplete = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
RunOnceHasShown = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer\Control Panel
HomePage = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "48"

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内でフォルダを検索し、検索したフォルダ内に "＜フォルダ名＞.EXE" として自身のコピーを作成します。

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

• {Drive Letter}:\chrome9.exe

Webブラウザのホームページおよび検索ページの変更

ワームは、ユーザのIEのスタートページを以下のWebサイトに変更します。

• http://www.{BLOCKED}10.com/