WORM_HAMWEQ.ZPS
Worm:Win32/Hamweq.AI (Microsoft), W32.IRCBot (Symantec), W32/Hamweq.worm.h (McAfee), Trojan.Win32.AutoRun.j (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\RELEASE\DEBUG\ghx.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ワームは、以下のファイルを作成します。
- %System Root%\RELEASE\DEBUG\desKtOp.InI
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ワームは、以下のフォルダを作成します。
- %System Root%\RELEASE
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144}
StubPath = "%System Root%\RELEASE\DEBUG\ghx.exe"
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- RELEASE
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\RELEASE\DEBUG\ghx.exe
ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。
上記INFファイルには、以下の文字列が含まれています。
[autorun]
open=RELEASE\DEBUG\ghx.exe
;ooooooooggggggggggggaaaaaaaaaaaaaaarrrrrrrrdddddddddd is good Guy.
action=Open folder to view files
shell\open=Open
shell\open\command=RELEASE\DEBUG\ghx.exe
shell\open\default=1
その他
ワームは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}ng2.{BLOCKED}rk.biz:3211
- {BLOCKED}g2.{BLOCKED}ils.net:3211
- {BLOCKED}g2.{BLOCKED}nc.cz:3211