Trend Micro Security

VBS_AUTORUN.IHT

2014年6月26日
 解析者: Vincent Martin Hermosura   

 別名:

Troj/VBS-CC (Sophos), Trojan.VBS.Autorun.v (Kaspersky), Worm:VBS/Autorun.BT (Microsoft), VBS/Autorun.worm.aadz (NAI), Trojan.Malscript (Norton), VBS/Autorunner.C (Antivir)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。


  詳細

ファイルサイズ 184,508 bytes
タイプ VBS
発見日 2013年5月10日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\Common Files\System\Windows Update\wxz.dat
  • %Application Data%\Microsoft\SYSTEM\cste

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

ワームは、以下のフォルダを作成します。

  • %Program Files%\Common Files\System\Windows Update

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Updates = "%Windows%\svchost .exe" /e:VBScript.Encode "%Application Data%\Microsoft\SYSTEM\cste"""

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "dword:00000000"

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = "dword:00000000"

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "dword:00000001"

(註:変更前の上記レジストリ値は、「dword:00000002」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {removable drive letter}:\Microsoft.dat

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
ShElLEXeCuTE=WScRiPt.EXe /e:VBScRIpt.eNcOdE miCroSoFt.dat

作成活動

ワームは、以下のファイルを作成します。

  • %Windows%\svchost .exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)