VBS_JENXCUS.GB

2016年1月5日

解析者: Homer Pacag

別名:

Worm:VBS/Jenxcus (Microsoft);

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 46282 bytes

タイプ VBS

メモリ常駐はい

発見日 2015年12月15日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

%Application Data%\Internet Explorer\iexplore.vbs

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
iexplore = wscript.exe //B "%Application Data%\Internet Explorer\iexplore.vbs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = wscript.exe //B "%Application Data%\Internet Explorer\iexplore.vbs"

ワームは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

%User Startup%\iexplore.lnk

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

{drive letter}:\iexplore.vbs

その他

ワームは、以下の不正なWebサイトにアクセスします。

http://dz47.{BLOCKED}e.com:222/is-ready
http://sexcam.{BLOCKED}ties.com:222/is-ready