• Email
• Facebook
• Twitter
• Google+
• Linkedin

WORM_AUTORUN.JBR

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

---

  詳細

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のコンポーネントファイルを作成します。

• %Application Data%\Microsoft\SystemCertificates\gom.exe - detected as TROJ_DLOADR.KZX

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\Microsoft\SystemCertificates\pbe.exe
• {all physical drives other than %System Root%}\PhysicalDrive2.com

ワームは、以下の無害なファイルを作成します。

• %Application Data%\Microsoft\SystemCertificates\a.a - MSWINSCK.OCX

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
{random} = "%Application Data%\Microsoft\SystemCertificates\pbe.exe"

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\IniFileMapping\
Autorun.inf
Default = "@SYS:DoesNotExist"

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = "checkboxxx"

(註：変更前の上記レジストリ値は、「"checkbox"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "3"

(註：変更前の上記レジストリ値は、「"2"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srservice
Start = "3"

(註：変更前の上記レジストリ値は、「"2"」となります。)

ワームは、以下のレジストリキーを削除します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\VSS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

• {removable drive letter}:\PhysicalDrive2.com

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
shell\Auto\command=PhysicalDrive2.com
shell=Auto

HOSTSファイルの改変

ワームは、ユーザが以下のWebサイトにアクセスできないように、システムのHOSTSファイルを改変します。

• www.kasperskylab.co.kr
• www.avira.com
• www.avast.co.kr
• www.eset.com
• www.everyzone.com
• www.hauri.co.kr
• www.nprotect.com
• alyac.altools.co.kr
• ko-kr.albnpc.altools.com
• ko-kr.albn.altools.com
• kr.ahnlab.com
• www.v3lite.com
• v3clinic.ahnlab.com
• helpdesk.nate.com
• customer.buddybuddy.co.kr

ワームは、WindowsのHOSTSファイルに以下の文字列を追加します。

• #0xD0.0x62.0xC.0x42 www.darkedenextreme.com
• 127.0.0.1 www.kasperskylab.co.kr
• 127.0.0.1 www.avira.com
• 65.55.184.125 www.avast.co.kr
• 127.0.0.1 www.eset.com
• 127.0.0.1 www.everyzone.com
• 127.0.0.1 www.hauri.co.kr
• 65.55.184.125 www.nprotect.com
• 127.0.0.1 alyac.altools.co.kr
• 127.0.0.1 ko-kr.albnpc.altools.com
• 127.0.0.1 ko-kr.albn.altools.com
• 127.0.0.1 kr.ahnlab.com
• 65.55.184.125 www.v3lite.com
• 65.55.184.125 v3clinic.ahnlab.com
• 127.0.0.1 helpdesk.nate.com
• 127.0.0.1 customer.buddybuddy.co.kr

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください