WORM_FAKEFLDR.AC
Trojan:Win32/Fakefolder.C (Microsoft); Worm.Win32.FakeFolder.a (Kaspersky); Worm.FakeFolder (VBA32); Trojan.Win32.Fakefolder (Ikarus); W32/FakeFolder.A!worm (Fortinet); Trojan/Win32.FakeFolder (AhnLab-V3); W32/FakeFolder.A (F-Prot)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
自動実行方法
ワームは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
(Default) = "%Program Files%\system.caca"
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\.caca
HKEY_CLASSES_ROOT\cacafile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.caca
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cacafile
ワームは、以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\.caca
(Default) = "cacafile"
HKEY_CLASSES_ROOT\cacafile\shell\
open\command
(Default) = "%Program Files%\Internet Explorer\WINLOGON.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.caca
(Default) = "cacafile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
cacafile\shell\open\
command
(Default) = "%Program Files%\Internet Explorer\WINLOGON.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {removable drive letter}:\MyDocuments
ワームは、以下のドライブ内に自身のコピーを作成します。
- {removable drive letter}:\MyDocument.exe
作成活動
ワームは、以下のファイルを作成します。
- %Program Files%\system.caca
- %Program Files%\Internet Explorer\WINLOGON.exe
- {removable drive letter}:\MyDocument\{files and folders in removable drive}
(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)