VBS_WOBFUS.GG
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\drivers\alice.sys
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\wscript.exe //e:vbscript.encode %System%\drivers\alice.sys"
(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"
HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
DisableCMD = "2"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoRun = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFind = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFileAssociate = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
InfoTip = "prop:Type"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
NeverShowExt = ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
QuickTip = "prop:Type"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
TileInfo = "prop:Type"
HKEY_CLASSES_ROOT\VBEFile
InfoTip = "prop:Type"
HKEY_CLASSES_ROOT\VBEFile
NeverShowExt = ""
HKEY_CLASSES_ROOT\VBEFile
QuickTip = "prop:Type"
HKEY_CLASSES_ROOT\VBEFile
TileInfo = "prop:Type"
ワームは、以下のレジストリ値を変更します。
HKEY_CLASSES_ROOT\VBEFile
{default} = "Microsoft Office Word 2007 Document"
(註:変更前の上記レジストリ値は、「VBScript Encoded Script File」となります。)
HKEY_CLASSES_ROOT\VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"
(註:変更前の上記レジストリ値は、「@%SystemRoot%\System32\wshext.dll,-4803」となります。)
HKEY_CLASSES_ROOT\VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"
(註:変更前の上記レジストリ値は、「%SystemRoot%\System32\WScript.exe,2」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
{default} = "Microsoft Office Word 2007 Document"
(註:変更前の上記レジストリ値は、「VBScript Encoded Script File」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile
FriendlyTypeName = "Microsoft Office Word 2007 Document"
(註:変更前の上記レジストリ値は、「@%SystemRoot%\System32\wshext.dll,-4803」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
VBEFile\DefaultIcon
{default} = ""C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE",15"
(註:変更前の上記レジストリ値は、「%SystemRoot%\System32\WScript.exe,2」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
ワームは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
感染活動
ワームは、ネットワークドライブ内に以下のように自身のコピーを作成します。
- {network drive letter}:\alice.alc
ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\alice.alc
- {physical drive letter}:\alice.alc
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
shellexecute=wscript.exe //e:vbscript.encode alice.alc
shell\open\command=wscript.exe //e:vbscript.encode alice.alc
shell\explore\command=wscript.exe //e:vbscript.encode alice.alc