Trend Micro Security

VBS_JENXCUS.GB

2016年1月5日
 解析者: Homer Pacag   

 別名:

Worm:VBS/Jenxcus (Microsoft);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 46282 bytes
タイプ VBS
メモリ常駐 はい
発見日 2015年12月15日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %Application Data%\Internet Explorer\iexplore.vbs

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
iexplore = wscript.exe //B "%Application Data%\Internet Explorer\iexplore.vbs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
iexplore = wscript.exe //B "%Application Data%\Internet Explorer\iexplore.vbs"

ワームは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

  • %User Startup%\iexplore.lnk

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {drive letter}:\iexplore.vbs

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://dz47.{BLOCKED}e.com:222/is-ready
  • http://sexcam.{BLOCKED}ties.com:222/is-ready