WORM_VOBFUS.GD
Worm:Win32/Vobfus.GD (Microsoft), Win32/AutoRun.VB.AXS worm (Eset), Trojan.Win32.Vobfus.paa (v) (Sunbelt)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にします。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %UserProfile%\{random}.exe
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\{random}.exe /x"
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
NoAutoUpdate = "00000001"
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
ワームは、以下のレジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSupperHidden = "00000001"
(註:変更前の上記レジストリ値は、「00000000」となります。)
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Drive Letter}\Porn.exe
- {Drive Letter}\Secret.exe
- {Drive Letter}\Sexy.exe
- {Drive Letter}\{random}.exe
- {Drive Letter}\Passwords.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
Icon={random}.exe,0
open={RANDOM}.eXE
ActION=2026
USeauToplaY=1
その他
ワームは、以下の不正なWebサイトにアクセスします。
- ns1.{BLOCKED}eckings.com
- ns1.{BLOCKED}eckings.net
- ns1.{BLOCKED}nes.org