• Email
• Facebook
• Twitter
• Google+
• Linkedin

Worm.Win32.WANNACRY.RGN

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

感染経路 ソフトウェアの脆弱性を利用した感染活動

ワームは、バックドア活動の機能を備えていません。

ワームは、作成されたファイルを実行します。

ワームは、情報収集する機能を備えていません。

ワームは、特定の脆弱性を利用した感染活動を実行します。

---

  詳細

侵入方法

ワームは、以下の方法でコンピュータに侵入します。

• Microsoft Windows SMB Server (MS17-010) Vulnerability

自動実行方法

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0
Type = "16"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0
ImagePath = "{initial malware file path} -m security"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0
DisplayName = "Microsoft Security Center (2.0) Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0
ObjectName = "LocalSystem"

ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\mssecsvc2.0

ワームは、以下のサービスを開始します。

• Service Name: mssecsvc2.0
  Display Name: Microsoft Security Center (2.0) Service
  Path to Executable: "{Initial Malware File Path} -m security"

バックドア活動

ワームは、バックドア活動の機能を備えていません。

ルートキット機能

ワームは、ルートキット機能を備えていません。

作成活動

ワームは、以下のファイルを作成します。

• %Windows%\tasksche.exe ← detected as Ransom.Win32.WCRY.DAM

ワームは、作成されたファイルを実行します。

情報漏えい

ワームは、情報収集する機能を備えていません。

その他

ワームは、以下を実行します。

• It connects to http://www.{BLOCKED}sodp9ifjaposdfjhgosurijfaewrwergwea.com. It is initially used as a kill switch for infection, however on this variant, it will still continue with its routine regardless of the connection.
• It scans the following to check for open port 445:
  • Local Area Network
  • Randomly-generated IP addresses over the Internet
• If it finds a host on the Local Area Network or the Internet with open port 445, it will attempt to exploit MS17-010 vulnerability to drop and execute a copy of itself to the remote host.
• It uses the following file path for its dropped copies on the remote hosts.
  • %Windows%\mssecsvc.exe
• It checks for the presence of the file %Windows%\tasksche.exe. If the file exists, it will rename the file using the following name %Windows%\qeriuwjhrf.
• It executes %Windows%\tasksche.exe with /i parameter.

ワームは、以下の脆弱性を利用して感染活動を実行します。

• Microsoft Windows SMB Server (MS17-010) Vulnerability

<補足>
侵入方法

ワームは、以下の方法でコンピュータに侵入します。

• Microsoft WindowsのSMBサーバにおける脆弱性（MS17-010）

自動実行方法

ワームは、以下のサービスを開始します。

• サービス名: mssecsvc2.0
  表示名: Microsoft Security Center (2.0) Service
  実行ファイルへのパス: "{初期のマルウェアファイルパス} -m security"

作成活動

ワームは、以下のファイルを作成します。

• %Windows%\tasksche.exe ← 「Ransom.Win32.WCRY.DAM」として検出される

ワームは、作成されたファイルを実行します。

その他

ワームは、以下を実行します。

• 下記URLに接続します。当初、この通信は感染活動のキルスイッチに使用されていましたが、本亜種は、通信結果に関わらず自身の不正活動を続行します。
  • http://www.{BLOCKED}sodp9ifjaposdfjhgosurijfaewrwergwea.com
• 下記を対象としてポート番号445を開放しているホストを検索します。
  • ローカル・エリア・ネットワーク
  • インターネット上でランダムに生成されたIPアドレス
• ローカル・エリア・ネットワークまたはインターネット上でポート番号445を開放しているホストを発見した場合、脆弱性「MS17-010」を突いて、自身のコピーを当該ホストに作成し実行を試みます。
• リモートホストの下記ファイルパスに自身のコピーを作成します。
  • %Windows%\mssecsvc.exe
• 「%Windows%\tasksche.exe」のファイルが存在するか確認します。存在する場合、ファイル名を「%Windows%\qeriuwjhrf」に改称します。
• パラメータ「/i」を指定して「%Windows%\tasksche.exe」を実行します。

ワームは、以下の脆弱性を利用して感染活動を実行します。

• Microsoft WindowsのSMBサーバにおける脆弱性（MS17-010）

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください