WORM_VBNA.KM

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成され、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ワームは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

ワームは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成され、コンピュータに侵入します。

ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %User Profile%\Application Data\hidserv.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update System = "%User Profile%\Application Data\hidserv.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Windows Update System = "%User Profile%\Application Data\hidserv.exe"

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Windows Update System = "%User Profile%\Application Data\hidserv.exe"

感染活動

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
open={random}\{random}.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open\command={random}\{random}.exe
shell\open\default=1

ワームは、インスタントメッセンジャ（IM）を用いて以下のメッセージを送信します。

Have you seen this? lol! {URL}
olhar para esta lol! {URL}
spojrzec na lol! {URL}
vejte se na mou lol! {URL}
guardare quest lol! {URL}
You know someone tried to kill obama today!? {URL}
bekijk deze lol! {URL}
mira esta lol! {URL}
schau mal das lol! {URL}
regardez cette lol! {URL}

ワームは、以下のインスタントメッセンジャ（IM）を用いて、メッセージを送信します。このメッセージにはリンクが含まれており、リンク先のリモートサイトには、自身のコピーが組み込まれています。

• Windows Live Messenger

バックドア活動

ワームは、不正リモートユーザからの以下のコマンドを実行します。

• Download files
• Perform speed tests by accessing http://speedtestfile.com/10mb.bin
• Perform UDP flooding using specified ports
• Remove itself from the affected system
• Terminate processes
• Update itself

ワームは、以下のWebサイトにアクセスし、情報を送受信します。

• breakerowns.{BLOCKED}o.org

ただし、情報公開日現在、このWebサイトにはアクセスできません。

プロセスの終了

ワームは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• aawservice.exe
• AckWin32.exe
• ADVXDWIN.exe
• AGENTSVR.exe
• agentw.exe
• ALERTSVC.exe
• aluschedulersvc.exe
• ANTIVIRUS.exe
• ANTS.exe
• appsvc32.exe
• ashwebsv.exe
• aswupdsv.exe
• ATCON.exe
• ATGUARD.exe
• ATRO55EN.exe
• AvastSvc.exe
• AvastUI.exe
• avgcc.exe
• avgfree.exe
• AVGIDSMonitor.exe
• avgnt.exe
• avgtray.exe
• avgupsvc.exe
• avp.exe
• ccApp.exe
• ccsvchst.exe
• egui.exe
• ekrn.exe
• kaspersky.exe
• kavsvc.exe
• mcafee.exe
• mctskshd.exe
• MSASCui.exe
• nod32.exe
• norton.exe
• PSANHost.exe
• PSUNMain.exe
• rundl32.exe
• symantecOD.exe

HOSTSファイルの改変

ワームは、WindowsのHOSTSファイルに以下の文字列を追加します。

• 127.0.0.1 avp.com
• 127.0.0.1 ca.com
• 127.0.0.1 customer.symantec.com
• 127.0.0.1 dispatch.mcafee.com
• 127.0.0.1 download.mcafee.com
• 127.0.0.1 f-secure.com
• 127.0.0.1 kaspersky-labs.com
• 127.0.0.1 kaspersky.com
• 127.0.0.1 liveupdate.symantec.com
• 127.0.0.1 liveupdate.symantecliveupdate.com
• 127.0.0.1 mast.mcafee.com
• 127.0.0.1 mcafee.com
• 127.0.0.1 my-etrust.com
• 127.0.0.1 nai.com
• 127.0.0.1 networkassociates.com
• 127.0.0.1 rads.mcafee.com
• 127.0.0.1 scanner.novirusthanks.org
• 127.0.0.1 secure.nai.com
• 127.0.0.1 securityresponse.symantec.com
• 127.0.0.1 sophos.com
• 127.0.0.1 symantec.com
• 127.0.0.1 threatexpert.com
• 127.0.0.1 trendmicro.com
• 127.0.0.1 update.symantec.com
• 127.0.0.1 updates.symantec.com
• 127.0.0.1 us.mcafee.com
• 127.0.0.1 virscan.org
• 127.0.0.1 viruslist.com
• 127.0.0.1 virusscan.jotti.org
• 127.0.0.1 virustotal.com
• 127.0.0.1 www.avp.com
• 127.0.0.1 www.ca.com
• 127.0.0.1 www.f-secure.com
• 127.0.0.1 www.grisoft.com
• 127.0.0.1 www.kaspersky.com
• 127.0.0.1 www.mcafee.com
• 127.0.0.1 www.my-etrust.com
• 127.0.0.1 www.nai.com
• 127.0.0.1 www.networkassociates.com
• 127.0.0.1 www.sophos.com
• 127.0.0.1 www.symantec.com
• 127.0.0.1 www.trendmicro.com
• 127.0.0.1 www.virscan.org
• 127.0.0.1 www.viruslist.com
• 127.0.0.1 www.virusscan.jotti.org
• 127.0.0.1 bitdefender.com
• 127.0.0.1 macafee.com
• 127.0.0.1 microsoft.com
• 127.0.0.1 nod32.com
• 127.0.0.1 norton.com
• 127.0.0.1 pandasoftware.com
• 127.0.0.1 www.download.mcafee.com
• 127.0.0.1 www.hotmail.com
• 127.0.0.1 www.kaspersky-labs.com
• 127.0.0.1 www.macafee.com
• 127.0.0.1 www.microsoft.com
• 127.0.0.1 www.nod32.com
• 127.0.0.1 www.norton.com
• 127.0.0.1 www.pandasoftware.com
• 127.0.0.1 www.virustotal.com