WORM_ZHELAT
2018年4月29日
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
感染経路 Eメールを介した感染活動, ファイルに感染
ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
詳細
侵入方法
ワームは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\kernels32.exe
- %System%\kernelwind32.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
System = "%System%\kernels32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
System = "%System%\kernelwind32.exe"
他のシステム変更
ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ount.net/adv/039/adload.php?{random characters}
- http://{BLOCKED}ount.net/pic/search.jpg
- http://{BLOCKED}ount.net/pic/winlogon.jpg
- http://{BLOCKED}ount.net/pic/tibs.jpg
- http://{BLOCKED}ount.net/pic/tool.jpg
- http://{BLOCKED}ount.net/pic/proxy.jpg
- http://{BLOCKED}ount.net/32647543ygwvrhbjt3h4evjrbgnrt.php?adv=39&code1=JO0I&code2=3260