WORM_AUTORUN.AOA
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
このファイルには、ワームが他のファイルをダウンロードするためにアクセスするURLが含まれています。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\ydze.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- EXPLORER.EXE
ワームは、既定のWindowsフォルダのアイコンを用いて、ユーザにファイルを開くよう促します。ユーザがファイルをダブルクリックすることで、このワームは実行されます。
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %Application Data%\ydze.exe
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- Sex.and.the.City.2
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
ワームは、既存の "AUTORUN.INF" に以下の文字列を追加して、このINFファイルの内容を変更します。これにより、作成した自身のコピーが自動実行されます。
- {garbage}
[AUtorUN
{garbage}
OPEN=Sex.and.the.City.2//////Sex.and.the.City.2.R5.Xvid-TPB.exe
{garbage}
USEAuTopLAY=1
{garbage}
SHELL\\EXplore\COMMAND=Sex.and.the.City.2////\Sex.and.the.City.2.R5.Xvid-TPB.exe
{garbage}
SHELL\\OPEN\COMMAND=Sex.and.the.City.2////\Sex.and.the.City.2.R5.Xvid-TPB.exe
{garbage}
その他
このファイルには、ワームが他のファイルをダウンロードするためのURLが含まれています。情報公開日現在、このファイルには以下のURLが含まれています。
- www.{BLOCKED}bam.info