WORM_BRONTOK.AE
Kaspersky: Virus.Win32.VB.mp, Backdoor.Win32.IRCBot.pbr, Virus.Win32.VB.bg; Microsoft: Worm:Win32/Brontok.FFV; Norton: W32.SillyFDC
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %System Root%\msvbvm60.dll
- %System%\dllchache\msvbvm60.dll
- %System%\dllcache\msvbvm60.dll
- %System Root%\(Read Me)Pendekar Blank.txt
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\dllchache\Zero.txt
- %System%\dllchache.exe
- %System%\dllchache\Unoccupied.reg
- %System%\dllcache\Shell32.com
- %System%\rund1132.exe
- %System%\M5VBVM60.EXE
- %System%\dllcache\Regedit32.com
- %WINDOWS%\system32.exe
- %System Root%\AUT0EXEC.BAT
- %System%\dllchache\Hole.zip
- %System%\dllchache\Empty.jpg
- %System%\dllchache\Blank.doc
ワームは、以下のフォルダを作成します。
- %System32%\dllchache
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Secure64 = "%System%\dllcache\Regedit32.com StartUp"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Secure32 = "%System%\dllcache\Shell32.com StartUp"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Blank AntiViri = "%System Root%\AUT0EXEC.BAT StartUp"
他のシステム変更
ワームは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。
HKEY_CLASSES_ROOT\comfile\shell\
open\command
@ = "%System%\rund1132.exe %1"
(註:変更前の上記レジストリ値は、「"%1" %*」となります。)
HKEY_CLASSES_ROOT\txtfile\shell\
open\command
@ = "%System%\rund1132.exe %1"
(註:変更前の上記レジストリ値は、「%SystemRoot%\system32\NOTEPAD.EXE %1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
comfile\shell\open\
command
@ = "%System%\rund1132.exe %1"
(註:変更前の上記レジストリ値は、「"%1" %*」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
txtfile\shell\open\
command
@ = "%System%\rund1132.exe %1"
(註:変更前の上記レジストリ値は、「%SystemRoot%\system32\NOTEPAD.EXE %1 」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, "%system%\M5VBVM60.EXE StartUp""
(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "%System Root%\AUT0EXEC.BAT StartUp"
(註:変更前の上記レジストリ値は、「cmd.exe」となります。)
感染活動
ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。
作成活動
ワームは、作成したファイルの属性を以下のように設定します。
- Read Only
- Hidden
- System
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください