解析者: Alvin John Nieto   
 別名:

W32.Harakit (Symantec), Win32/Autoit.JW worm (ESET), Worm:Win32/Verecno.A (Microsoft)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 136,765 bytes
タイプ Script
発見日 2014年2月26日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\Google\googleupdate.a3x

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のフォルダを作成します。

  • %System Root%\Skypee
  • %System Root%\Google

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
googleupdate.exe = "%System Root%\Google\googleupdate.vbs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
googleupdate.exe = %System Root%\googleupdate.vbs

ワームは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。

  • %All Users Profile%\Start Menu\Programs\Startup\googleupdate.lnk

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://www.{BLOCKED}ugin.net/json.gp

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ou.zapto.org

ワームが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

  • AutoIt3.exe
  • {parent folder name}.lnk
  • googleupdate.vbs