WORM_UTOTI

「UTOTI」ファミリは、リムーバブルドライブを介した感染活動をすることで知られいています。「UTOTI」または「OTOTI」というファミリ名は、この亜種において用いられるコンパイラ「AutoIt」に由来しています。

このファミリ名を持つワームは、バックドア機能を備えています。コマンド＆コントロール（C&C）サーバに接続し、オペレータからのコマンドを受信します。感染コンピュータ上で実行されるコマンドの一部は、以下のとおりです。

• ファイルのコピー
• ファイルの削除
• ファイルのダウンロード
• Windows Live メッセンジャーに登録されている連絡先のリスト化
• プロセスのリスト化および終了
• ネットワーク内のIPアドレスのスキャン

インストール

ワームは、以下のファイルを作成します。

• %System Root%\khq
• %System%\autorun.inf
• %System%\cftm.exe
• %User Temp%\suicide.bat
• {drive letter}:\khq
• {drive letter}\autorun.inf

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\7883290.exe
• %System%\csrcs.exe
• {drive letter}\{random}.exe

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe csrcs.exe"

(註：変更前の上記レジストリ値は、「Explorer.exe」となります。)

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
dreg = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
eggol = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
exp1 = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
fix = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
fix1 = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
regexp = "{numbers}"

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

その他

ワームは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.{BLOCKED}.19.236:7358/xDIUYSDFIGU876SXCGHSD54G6SD.php
• http://{BLOCKED}.{BLOCKED}.19.236:88/xxxxxFD65456DF4Y9876554DFH34DF654H64RY897.php
• http://{BLOCKED}.{BLOCKED}.19.237:4900/xx76ZXC86ASDRTUT5234SDG8635.php
• http://{BLOCKED}.{BLOCKED}.19.237:5200/536314S17IY17XX8613NWFRNASRS/Q(999).da
• http://{BLOCKED}.{BLOCKED}.19.238:4600/xDIUYSDFIGU876SXCGHSD54G6SD.php
• http://{BLOCKED}.{BLOCKED}.19.238:4800/526314O17CV17RQ274YOEGXMXJW/Q(996).da
• http://{BLOCKED}.{BLOCKED}.19.238:5300/xxxxxFD65456DF4Y9876554DFH34DF654H64RY897.php
• http://{BLOCKED}.{BLOCKED}.19.238:5400/527914L17MQ17YV8420ENMWXGVPZ/Q(995).da
• http://cccp.{BLOCKED}m.cx:9348/fm.htm
• http://geo.{BLOCKED}q.com:6854/yuyo.php
• http://{BLOCKED}s.dip.jp:6854/pro.gif
• http://{BLOCKED}s.dip.jp:6854/yuyal.php
• http://{BLOCKED}t.com/torrents/?iht=4&ihs1=2&age=0
• http://kiu.{BLOCKED}atama.com:49213/fem.gif
• http://star.{BLOCKED}atama.com/yuyo.php
• http://{BLOCKED}bay.org/top/300
• http://{BLOCKED}bay.se/top/300