Trend Micro Security

WORM_AUTORUN

2013年8月14日
 別名:

Fujacks

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続, プロセスの強制終了

インストール

ワームは、以下のファイルを作成します。

  • %System Root%\go.sys
  • %Program Files%\WinRAR\myrar.txt
  • {drive letter}:\autorun.inf

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\drivers\TXPlatform.exe
  • %System%\secpol.exe
  • %System%\wuauc1t.exe
  • %System%\SVSH0ST.EXE
  • %System%\c0n1me.exe
  • {drive letter}:\¡¡¡¡¡¡.exe
  • {drive letter}:\UFO.exe
  • {drive letter}:\ explorer.exe
  • {drive letter}:\niu.exe
  • {drive letter}:\MSDOS.PIF
  • {shared folder}\ Cool_GameSetup.exe

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Explorer = "%System%\drivers\TXPlatform.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
svchost = "%System%\SVSH0ST.EXE"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%System%\secpol.exe,"

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

ワームは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\xx931

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "ntsd -d"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{application name}
Debugger = "%System%\c0n1me.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\xx931
Userinit = "%System%\userinit.exe,%System%\secpol.exe,"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
WindowsUpdate
DisableWindowsUpdateAccess = "1"

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Control Panel
HomePage = "1"

ワームは、以下のレジストリ値を変更します。

HKEY_CLASSES_ROOT\HTTP\shell\
open\command
{default} = ""%Program Files%\InternetExplorer\iexplore.exe" -nohome"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
HTTP\shell\open\
command
{default} = ""%Program Files%\InternetExplorer\iexplore.exe" -nohome"

(註:変更前の上記レジストリ値は、「"%Program Files%\Internet Explorer\iexplore.exe" -nohome」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveTypeAutoRun = "80"

(註:変更前の上記レジストリ値は、「91」となります。)

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "3"

(註:変更前の上記レジストリ値は、「1」となります。)

ワームは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_WSCSVC

<アプリケーション名>には以下のいずれかが該当します。

  • 360Safe.exe
  • 360rpt.EXE
  • 360safe.EXE
  • 360tray.EXE
  • 360tray.exe
  • ANTIARP.EXE
  • AVP.EXE
  • AVP.exe
  • Ast.EXE
  • AutoRunKiller.EXE
  • AvMonitor.EXE
  • CCenter.EXE
  • CCenter.exe
  • Frameworkservice.EXE
  • GFUpd.EXE
  • GuardField.EXE
  • IceSword.EXE
  • Iparmor.EXE
  • KASARP.EXE
  • KRegEx.EXE
  • KVMonxp.kxp
  • KVSrvXP.EXE
  • KVWSC.EXE
  • Mmsk.EXE
  • Navapsvc.EXE
  • Nod32kui.EXE
  • RAS.EXE
  • RavMon.exe
  • RavMonD.exe
  • RavStub.exe
  • RavTask.exe
  • Regedit.EXE
  • Runiep.EXE
  • VPC32.EXE
  • VPTRAY.EXE
  • WOPTILITIES.EXE
  • Wuauclt.EXE
  • ~.EXE

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}g08.com/down/down.txt
  • http://{BLOCKED}m.com/2005/p/21yjxm.com/1907/jp/logip.php
  • http://{BLOCKED}o.com.com/TJ.asp
  • http://{BLOCKED}o.com/xia.exe
  • http://{BLOCKED}o.com/wangma.exe
  • http://2.{BLOCKED}8.com/dd/1.exe
  • http://2.{BLOCKED}8.com/dd/10.exe
  • http://2.{BLOCKED}8.com/dd/11.exe
  • http://2.{BLOCKED}8.com/dd/12.exe
  • http://2.{BLOCKED}8.com/dd/13.exe
  • http://2.{BLOCKED}8.com/dd/14.exe
  • http://2.{BLOCKED}8.com/dd/15.exe
  • http://2.{BLOCKED}8.com/dd/16.exe
  • http://2.{BLOCKED}8.com/dd/17.exe
  • http://2.{BLOCKED}8.com/dd/2.exe
  • http://2.{BLOCKED}8.com/dd/3.exe
  • http://2.{BLOCKED}8.com/dd/4.exe
  • http://2.{BLOCKED}8.com/dd/5.exe
  • http://2.{BLOCKED}8.com/dd/6.exe
  • http://2.{BLOCKED}8.com/dd/7.exe
  • http://2.{BLOCKED}8.com/dd/8.exe
  • http://2.{BLOCKED}8.com/dd/9.exe
  • http://2.{BLOCKED}8.com/dd/ar.exe
  • http://2.{BLOCKED}8.com/dd/do.exe
  • http://2.{BLOCKED}8.com/dd/gz.exe
  • http://2.{BLOCKED}8.com/dd/self.gif

関連ブログ記事