Trend Micro Security

WORM_KUBFACE.SDH

2015年11月3日
 解析者: Anthony Joe Melgarejo   
 別名:

Worm:Win32/Slenping.AD (Microsoft), W32.Yimfoca.B (Symantec), Win32/Boberog.AZ worm (ESET),

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

  詳細

ファイルサイズ 56,832 bytes
タイプ EXE
ファイル圧縮 UPX
発見日 2012年8月21日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %Application Data%\HEX-5823-6893-6818\jutched.exe - for Windows XP and prior
  • %User Profile%\Public\jutched.exe - for Windows Vista and later

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.)

ワームは、以下のファイルを作成します。

  • %System%\winrtsnr.txt

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%Application Data%\HEX-5823-6893-6818\jutched.exe" - for Windows XP and prior

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe" - for Windows Vista and later

他のシステム変更

ワームは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\HEX-5823-6893-6818\jutched.exe = "%Application Data%\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows XP and prior

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Public\HEX-5823-6893-6818\jutched.exe = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows Vista and later

感染活動

ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • {Drive Letter}:\8585485

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {Drive Letter}:\8585485\{folder name}s.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}ution.nicaze.net