WORM_GOLROTED.W
Win32:Malware-gen(Avast);Trojan.MSIL.Inject.bkjb(Kaspersky);BackDoor-FCJT!70CDC035B76B(McAfee)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\WindowsUpdate.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
ワームは、以下のファイルを作成します。
- %Application Data%\pidloc.txt
- %Application Data%\pid.txt
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Update = %Application Data%\WindowsUpdate.exe
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {drive letter}:\Sys.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://whatismyipaddress.com
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.{BLOCKED}.212.64/WebPanel/log.php