• Email
• Facebook
• Twitter
• Google+
• Linkedin

WORM_ONLINEG.KEU

---

• マルウェアタイプ: ワーム
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

ワームは、ダウンロードしたファイルを実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

ワームは、特定のオンラインゲームで用いられるユーザ名およびパスワードなどの個人情報を収集します。収集された情報は、サイバー犯罪者に悪用される恐れがあります。

ワームは、イベントを作成します。 ワーム マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

---

  詳細

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\xvassdf.exe
• %User Temp%\4tddfwq{1-digit number}.dll

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、以下のプロセスを追加します。

• iexplore.exe

ワームは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• explorer.exe
• created iexplore.exe

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
54dfsger = "%User Temp%\xvassdf.exe"

他のシステム変更

ワームは、以下のファイルを改変します。

• %System%\drivers\cdaudio.sys

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ワームは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\CLSID\MADOWN

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\MADOWN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Security

ワームは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
ImagePath = "\??\%System%\drivers\cdaudio.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
DisplayName = "AVPsys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum
Count = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum
NextInstance = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum
INITSTARTFAILED = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Security
Security = "{hex value}"

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(註：変更前の上記レジストリ値は、「"1"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

感染活動

ワームは、すべての物理ドライブおよびリムーバブルドライブ内に以下として自身のコピーを作成します。

• {drive letter}:\s9h3v.bat

ワームは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[AutoRun]
open=s9h3v.bat
shell\open\Command=s9h3v.bat

ダウンロード活動

ワームは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}7csa.com/1rb/ar1.rar

ワームは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\ar1.rar

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、ダウンロードしたファイルを実行します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

ワームは、特定のゲームで用いられるユーザ名およびパスワードなどの個人情報を収集します。

その他

ワームは、タイトルバーに以下の文字列を含むアプリケーションのウィンドウを閉じます。

• AVP.Product_Notification
• AVP.AlertDialog
• AVP.Product_Notification
• AVP.AlertDialog

ワームは、以下のイベントを作成します。

• MN_XADLEBCBAXCSDFGEWQCDDD0
• XZQURKLOPIUTYTRDDFSLSFSIKDQ_MN

ワーム は、自身（コンピュータに侵入して最初に自身のコピーを作成した ワーム ）を削除します。

ワームは、以下のレジストリ値の値を確認することにより、コンピュータの言語を確認します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language
InstallLanguage = "{number}"

上述の番号が"0804"（中国語）である場合、ワームは、自身の不正活動を終了します。

ワームは、以下のレジストリキーが存在するかを確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater

存在する場合、ワームは、以下のレジストリ値を作成し、更新から特定のセキュリティ関連機能を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\Updater
enabled = "0"

ワームは、以下のセキュリティ関連のプロセスがメモリ内で実行しているかを確認します。

• ALUSCHEDULERSVC.EXE
• ASHDISP.EXE
• AVGNT.EXE
• AVGRSX.EXE
• AVP.EXE
• AYAGENT.AYE
• CCSVCHST.EXE
• LIVESRV.EXE
• UFSEAGNT.EXE
• VCRMON.EXE
• VSTSKMGR.EXE

ワームは、上述のファイルが存在するフォルダを取得します。そして、ワームは、確認されたセキュリティ関連プロセスによって、以下のコンポーネントファイルのいずれかを検索します。

• avast.setup
• avgupd.exe
• AYUpdate.aye
• luall.exe
• mcupdate.exe
• preupd.exe
• prupdate.ppl
• setup.ovr
• SfFnUp.exe
• UfUpdUi.exe
• Update.exe
• vsupdate.dll

ワームは、上述のフォルダから以下の拡張子を持つファイルを検索します。

• .DLL
• .EXE

ワームは、"%System Root%"内で確認されたファイル移動し、ファイル名を以下に置き換えます。

• {file name}.{extension}.vcd

ワームは、ユーザ名やパスワードなど、オンラインゲームに関連するユーザ認証情報を収集します。ワームは、メモリ内で、以下の文字列を含むプロセス／サービスを監視することによりこの不正活動を行います。

• agexe.exe
• Altair(Non-PvP)
• app.dll
• coc.exe
• Forthgoer
• Leu
• lin.bin
• PlayOnline ID :
• pol.exe
• polcore.dll
• Ragexe.exe
• shlwapi.dll

ワームは、感染コンピュータ上に以下のファイルが存在している場合、このファイルから情報を収集します。

• aaa.dat

ワームは、以下のURL、プロセスおよびレジストリキーを監視することにより"Yahoo! Japan"の認証情報を収集します。

• https://login.yahoo.co.jp/config/login_verify2?.src=ym
• https://login.yahoo.co.jp/config/login?
• YPagerj.exe
• YahooWidgetEngine.exe
• \Software\YahooJapan

ワームは、以下のIPアドレスへのトラフィックを監視します。

• {BLOCKED}1.13.{BLOCKED}5.226
• {BLOCKED}1.13.{BLOCKED5.227
• {BLOCKED}1.13.{BLOCKED5.228
• {BLOCKED}1.13.{BLOCKED5.229

ワームは、以下のWebサイトへ収集した情報を送信します。

• http://{BLOCKED}eanai.com/r1b/fsy/lin.asp

ただし、情報公開時点で、上述のサイトはアクセス不能です。

ワームは、ルートキット機能を備えていません。

ワームは、脆弱性を利用した感染活動を行いません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください