Trend Micro Security

VBS_AUTORUN.AONN

2015年8月19日
 解析者: Christopher Daniel So   

 別名:

Worm:VBS/HiLink.A (Microsoft), Worm/AutoRun (AVG), VBS/Solow.CN (Panda)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。


  詳細

ファイルサイズ 15,104 bytes
タイプ VBS
発見日 2015年8月18日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
txtfile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
txtfile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
inifile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
inffile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
batfile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cmdfile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
regfile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
chm.file\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
chm.file\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
hlpfile\shell\open\
command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" %1 %* "

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\iexplore.exe\shell\
open\command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" OIE "

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\
shell\OpenHomePage\Command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" OIE "

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\
shell\open\command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" OMC "

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\
shell\explore\command
(Default) = "%SystemRoot%\System32\WScript.exe "{malware path and filename}" EMC "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
CheckedValue = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveTypeAutoRun = "0"

ワームは、以下のレジストリ値を削除します。

HKEY_CLASSES_ROOT\lnkfile
IsShortcut =