WORM_CHIVIPER.AJ
Worm:Win32/Chiviper.C (Microsoft); Trojan.Gen (Symantec); Trojan.Win32.Generic!BT (Sunbelt)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、実行後、自身を削除します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SessionManager
PendingFileRenameOperations = %System%\ws2helop.dll.{random}.tmp
ワームは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\
Control\Session Manager
ExcludeFromKnownDlls = "usp10.dll"
(註:変更前の上記レジストリ値は、「{random values}」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(註:変更前の上記レジストリ値は、「1」となります。)
作成活動
ワームは、以下のファイルを作成します。
- %Windows%\usp10.dll
- %System%\ws2helpxp.dll
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
ダウンロード活動
ワームは、以下のWebサイトから自身のコピーの更新版をダウンロードします。
- bbz.{BLOCKED}w.com/110/jc928xx.txt
ワームは、以下のファイル名でダウンロードしたファイルを保存します。
- %Temporary Internet Files%\Content.IE5\{random}\jc928xx.txt
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://tj1012.{BLOCKED}y.com/tj1012/post.asp?d10=08-00-27-DA-9F-73&dll=ver-tongji-116&d21=56&d22=xp
ワームは、実行後、自身を削除します。