Trend Micro Security

VBS_DUNIHI.E

2014年2月4日
 解析者: Ardin Christopher Maglalang   

 別名:

VBS/Agent.NDH(ESET), VBS/Agent.ooo(ANTIVIR)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 1,283,575 bytes
タイプ VBS
発見日 2013年12月16日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\{Malware Filename}.vbe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\software\microsoft\
windows\currentversion\runOnce
{Malware Filename} = "wscript.exe //B "%Application Data%\{Malware Filename}.vbe""

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\software\{Malware Filename}

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\software\{Malware Filename}
{Default} = "{true\false} - {date executed}"

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {Drive Letter}:\{Malware Filename}.vbe

バックドア活動

ワームは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • http://search.{BLOCKED}ttp.com:358/{Command\Status}