WORM_AUTORUN.EUB
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
ワームは、感染コンピュータ上のすべての物理ドライブおよびリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\ctfmem.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
cftmam = %System%\ctfmem.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
ctfmam = %System%\ctfmem.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
ctfmam = %System%\ctfmem.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
cftm = %System%\cftm.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices
cftm = %System%\cftm.exe
HKEY_LOCAL_MACHINE\oftware\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
cftm = %System%\cftm.exe
感染活動
ワームは、感染コンピュータ上のすべての物理ドライブおよびリムーバブルドライブ内に自身のコピーを作成します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[AutoRun]
open={malware name}
shell\open\Command={malware name}
shell\open\Default={malware name}
shell\explore\Command={malware name}
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://www.{BLOCKED}myip.com/automation/n09230945.asp