WORM_NYXEM
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
詳細
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
- %System Root%\WINZIP_TMP.exe
- %System%\Update.exe
- %System%\Winzip.exe
- %System%\scanregw.exe
- %Windows%\Rundll16.exe
- %Windows%\WINZIP_TMP.exe
- \Admin$\WINZIP_TMP.exe
- \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
- \c$\WINZIP_TMP.exe
- %Program Files%\WinZip_Tmp.exe
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
ScanRegistry = "scanregw.exe /scan"
他のシステム変更
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses
{default} = "Licensing: Copying the keys may be a violation of established copyrights."
ワームは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
WebView = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"
(註:変更前の上記レジストリ値は、「"0"」となります。)
ワームは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\096EFC40-6ABF-11cf-850C-08002B30345D
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\190B7910-992A-11cf-8AFA-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\2c49f800-c2dd-11cf-9ad6-0080c7e7b78d
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\4250E830-6AC2-11cf-8ADB-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\4D553650-6ABE-11cf-8ADB-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\556C75F1-EFBC-11CF-B9F3-00A0247033C4
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\57CBF9E0-6AA7-11cf-8ADB-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\5f54e750-ce26-11cf-8e43-00a0c911005a
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\6FB38640-6AC7-11cf-8ADB-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\72E67120-5959-11cf-91F6-C2863C385E30
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\78E1BDD1-9941-11cf-9756-00AA00C00908
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\7C35CA30-D112-11cf-8E72-00A0C90F26F8
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\899B3E80-6AC6-11cf-8ADB-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\9E799BF1-8817-11cf-958F-0020AFC28C3B
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\B1EFCCF0-6AC1-11cf-8ADB-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\BC96F860-9928-11cf-8AFA-00AA00C00905
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\E32E2733-1BC5-11d0-B8C3-00A0C90DCA10
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Licenses\F4FC596D-DFFE-11CF-9551-00AA00A3DC45
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
作成活動
ワームは、以下のファイルを作成します。
- %System%\{malware name}.zip
- %System%\MSWINSCK.OCX
- %Windows%\Tasks\At{number}.job
- %Program Files%\Temp.Htt
- %Program Files%\desktop.ini
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ts.web.rcn.net/cgi-bin/Count.cgi?df=765247