• Email
• Facebook
• Twitter
• Google+
• Linkedin

WORM_DOWNAD.FT

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。 ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

---

  詳細

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\{random filename}.dll

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
{random strings} = rundll32.exe %System%\{random filename}.dll

他のシステム変更

ワームは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random}:TCP = "{random}:TCP:*:Enabled:{random letters}"

ワームは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"

(註：変更前の上記レジストリ値は、「"2"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "3"

(註：変更前の上記レジストリ値は、「"4"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "2"

(註：変更前の上記レジストリ値は、「"4"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "2"

(註：変更前の上記レジストリ値は、「"4"」となります。)

感染活動

ワームは、感染コンピュータに接続しているすべてのリムーバブルドライブ内に自身のコピーを作成します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

その他

ワームが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。